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Die f olgenden Angaben sind den vom Anrnelder eingereichten Unterlagen entnommen 

(§) Verfahren zurn Erlernen von Protokollregeln aus beobachteten Kommunikationsablaufen 
(57) Die Analyse protokollbasierter Datenkommunikation 
durch passive Analysatoren beschrankt sich heute meist 
auf die Prufung der Nachrichtehkodierung, eine Validie- 
rung der Protokollprozeduren ist aktiven Testgeraten vor- 
behalten. In dieser Arbeit werden zwei neue Verfahren 
entwickelt, urn korrektes Protokollverhalten allein durch 
passive Beobachtung, auch in Echtzeit, Ciberprufen zu 
konnen. Das erste Verfahren basiert auf einer exakten 
Spezifikation des beobachtbaren Sollverhaltens und ver- 
wendet unsicherheitsbehaftete Zustandsbeschreibun- 
gen, um sich auf einen laufenden Kommunikationsvor- 
gang aufsynchronisieren zu konnen. Vollstandigkeit und 
Korrektheit des Analyseverfahrens als wesentliche Quali- 
tatskriterien werden nachgewiesen. Es kann die manuelle 
Sucharbeit nach Fehlerquellen um Groftenordnungen re- 
duzieren. Das zweite Verfahren umgeht den Bedarf nach 
einer Beschreibung des Sollverhaltens, indem es die Re- 
geln eines Protokolls aus einer fehlerfreien Beispielkom- 
l munikation erlernt und auf zu analysierende Beobachtun- 
gen anwendet. Dieses Verfahren basiert auf zwei neuen 
Lernalgorithmen, einem zum effizienten Lernen optimaler 
endlicher Automaten und einem zur Ableitung arithmeti- 
scher Klassifikationsregeln, jeweils aus einer Stichprobe 
rein positiver Beispiele. Es kann zu minimalen Kosten auf 
neue Protokolle angewandt werden. Beide Verfahren sind 
als Prototypen implementiert und werden abschlie&end 
vergleichend bewertet. 
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Beschreibung 
Kapitel 1 

5 Einleitung und Uberblick 

ImLaufe der Weiterentwicklung der elektronischen Datenverarbeitung und Telekommunikation hat der automatisierte 
Austausch von digitalen Informationen zwischen verschiedenen, gegeneinander abgegrenzten Einheiten standig an Be- 
deutung gewonnen. Dieser ProzeB verlief und verlauft mit Sicherheit nicht linear in der Zeit, sondern weist eine immer 

10 starkere Beschieunigung auf: Der Beginn des Computer- Zeitalters war gekennzeichnet von wenigen einzelnen Rechner- 
systemen, die vom jeweiligen Kunden meist fur eine sehr spezielle Aufgabe eingesetzt wurden. Ein Austausch von Daten 
erfolgte typischerweise nur innerhalb einer solchen Rechenanlage, sofem Peripherieeinheiten wie Drucker, Lochkarten- 
gerate und spater Massenspeicher dazugerechnet werden. Bereits mit der Einfuhrung von Mehrbenutzersystemen mit 
Terminals verkomplizierte sich der Datenaustausch, mit der Vernetzung einiger GroBrechner setzte sich diese Entwick- 

15 lung fort. Erst seit Anfang der achtziger Jahre zeichnen sich drei Entwicklungen ab, die den digitalen Informations aus- 
tausch nach Menge und Komplexitat zu potenzieren begannen: 

1 . Der personliche Computer am Arbeitsplatz und spater zu Hause. Damit vervielfacht sich die Anzahl potentieller 
Kommunikationsendpunkte. 

20 2. Die Idee des offenen Systems, das in der Lage ist, mit anderen Systemen zu kommunizieren, deren Identi tat nicht 

a priori bekannt ist. 

3. Die Digitalisierung des Fernsprechnetzes und weiterer, fruher analog arbeitender Kommunikationsdienste, die 
nun auch jedes Telefon und jedes Rundfunkgerat zu potentiellen Teilnehmern weltweiter digitaler Kommunikation 
machen. 

25 

Mit der Vervielfachung der Anwendungsgebiete der digitalen Kommunikation einher geht die Einfuhrung immer ho- 
herer Ubertragungs'raten in den Kommunikationstrecken. Aus 75 bit/s der ersten Femschreiber sind Mega-, Gig a- und 
bald auch Terabit geworden. 

Voraussetzung fiir das einwandfreie Funktionieren digitaler Kommunikation ist, daB sich alle beteiligten Kommunika- 
30 tionspartner gemaB gemeinsamer Regeln verhalten. Solche Regelwerke fur Kommunikationsverhalten werden Proto- 
kolle genannt. 

Aufgrund der Offenheit, Diversitat, Komplexitat und Bandbreite moderner Kommunikationssysteme kommt der Ent- 
wicklung, Normung und Beschreibung von Protokollen eine standig grbBere Bedeutung zu. Im selben MaBe vermehren 
sich die Fehlerquellen, die zu mehr oder weniger groBen Storungen in Kommunikationssystemen fuhiren. Zu typischen 
35 Fehlerquellen, die sich in modernen Breitbandkommunikations systemen immer wieder zeigen, gehoren: 

- Fehlfunktionen aufgrund des Einsatzes von Protokollen oder Protokollvarianten, die im gegebenen Kontext einer 
Systemins.tallation nicht benutzt werden durften. 

- Fehlfunktionen aufgrund von konfigurierbaren Protokoll-Parametern, die fiir den gegebenen Kontext einer Sy- 
40 steminstallation inkompatibel eingestellt wurden. 

- Fehlfunktionen aufgrund von Uberlastsituationen, in denen einzelne Komponenten des Kommunikationssys terns 
gezwungen sind, Daten zu verwerfen. 

Die Erf ahrung zeigt, daB alle Bemuhungen, die einwandfreie Funktion kommunikauonsrelevanter Hard- und Software 
45 vor der Markteinfuhrung durch geeignete Entwicklungsverfahren und aktive Testprozeduren sicherzustellen, nicht in je- 
dem Fall Erfolg haben. Daraus entsteht der Bedarf nach Hilfsmitteln zur Fehlersuche, die im laufenden Betrieb eines 
Kommunikationssy stems eingesetzt werden und Fehlfunktionen erkennen, einer Systemkomponente zuordnen und An- 
haltspunkte zu ihrer Beseitigung lief em kbnnen. 

Verfiigbare Werzeuge fiir Messungen im laufenden Betrieb, meist als Protokoll- oder Netzwerkmonitore bezeichnet, 
50 haben gemeinsam, daB sie nicht das vollstandige Kommunikationsverhalten gegen das Sollverhalten validieren konnen, 
sondem ein erhebliches MaB an manueller Prufarbeit erfordern. Hier besteht also ein erhebliches Potential, eine sehr un- 
angenehme manuelle Suchtatigkeit zu automatisieren. 

Im Zuge einer automatisierten Verhaltensanalyse ergeben sich zwei Teiiprobleme: 

55 1. Wie mufi ein Verfahren aussehen, das in der Lage ist, alle Aspekte eines Kommunikationsverhaltens efficient - 

moglichst in Echtzeit - zu uberprufen, indem der uber eine in Betrieb befindliche Kommunikationsverbindung lau- 
fende Verkehr passiv beobachtet wird? 

2. Wie kann das Sollverhalten - das ja als Grundlage der Uberprufung dient - m6glichst schneli und kostengunstig 
dem Analysegerat zur Verfugung gestellt werden? Ist dies auch moglich, wenn das zugrundeliegende Protokoll 
60 nicht in Form einer formalen, maschinentauglichen Spezifikation vorliegt? 

In dieser Arbeit wird fiir jedes der beiden Teiiprobleme eine neue Lbsung entwickelt. Wahrend die Losung zu Teil 1 
auf einer vorgegebenen Spezifikation des Sollverhaltens aufbaut, soli fiir Teil 2 der Versuch untemommen werden, das 
Sollverhalten anhand von beispielhaften Kommunikationsablaufen zu erlemen, Dazu muB vorausgesetzt werden, daB die 
65 Beispielablaufe fehlerfrei sind, denn die Kenntnis von Fehlern im Beispielverhalten oder die gezielte Erzeugung von 
Fehlerbeispielen setzt bereits das Wissen um die Regeln fur korrektes Verhalten voraus - der Lemansatz ware damit ad 
absurdum gefuhrt. 

Eine geeignete Losung des ersten Teilproblems hat folgende Vorteile gegeniiber ublichen aktiven Testprozeduren, in 
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denen.ein Testgerat die Rolle eines Kommunikationspartners iibemimmt: 

- Ein passives Prufverfahren kann unter genau den Bedingungen eingesetzt werden, unter denen auch der Betrieb 
des Kommunikatiohssystems stattfindet. Daher ist es relativ wahrscheinlich, daB geiegentliche Betriebsstorungen 

bei der Fehlersuche nicht verborgen bleiben. Wenn ein Problem beispielsweise nur auftritt, wenn ein seltener Zah- 5 
leruberlauf stattfindet, wird ihn eine herkommliche Testprozedur wahrscheinlich nicht aufdecken. 

- Es kommt vor, daB die Komrnunikation zwischen Komponenten verschiedener Hersteller gestort ist, obwohl 
beide Hersteller eine Zertifizierung ihrer Gerate vorweisen und zwischen Geraten desselben Herstellers keine Pro- 
bleme auftreten. Dann ist eine Messung in genau der fehlertrachtigen Konfiguration erforderlich, urn die verursa- 
chende Komponente zu ermitteln. l0 

- In modernen Protokollen konnen gewisse, vorn Standard offengelassene Parameter gelegentlich vom Benutzer 
oder Service-Personal nachtraglich festgelegt werden. Probleme der Zusammenarbeit zweier Komponenten konnen 
dann auch auf unvertragliche Konfigurationseinstellungen zuruckzufuhren sein. Auch diese Fehlerquelle bleibt 
beim aktiven Testen verborgen. 

- Wenn ein installiertes Kommunikationssystem zwar geiegentliche Storungen aufweist, seinen Betriebszweck 15 
aber noch im groBen und ganzen erfullen kann, ist es vorteilhaft, die Fehlersuche ohne EinfluB auf den Betrieb 
durchfuhren zu konnen. Ein aktiver Test einzelner Komponenten erfordert dagegen normalerweise eine Betriebsun- 
terbrechung. 

Die Losung des zweiten Teilproblems erhalt ihre praxis bezogene Rechtfertigung durch folgende Einsatzszenarien: 20 

- Es wird spater deutlich werden, daB die Entwicklung eines Prufalgorithmus fiir ein konkretes Kommunikatioris- 
protokoll selbst bei Vorliegen einer maschinenverstandlichen Protokollspezirlkation im allgemeinen nicht vollig au- 
tomatisch erfolgen kann, sondern ein gewisses MaB an menschlicher Entwurfsarbeit erfordert. Wenn dazu nicht ge- 
niigend Ressourcen zur Verfugung stehen, ist die Verwendung eines maschinellen Lernverfahrens ein denkbarer 25 
Ausweg. Immerhin gibt es heute eine sehr groBe Zahl von Protokollen und Protokollvarianten, so daB sich nicht fur 
jede einzelne davon ein signifikanter Entwicklungs auf wand fur eine Prufmaschine lohnt. 

- In der immer schnelleren Weiterentwicklung von Kommunikationssystemen und -standards beobachtet man hau- 
fig ein Nebeneinander von international standardisierten Protokollen und proprietaren Entwicklungen, welche einen 
vorhandenen Bedarf moglichst schnell - das heiBt vor der Konkurrenz und erst recht vor AbschluB eines meist lang- 30 
wierigen Standardisierungsprozesses - erfullen sollen. Fiir derartige proprietare Protokollvarianten sind formale 
Spezifikationen moglicherweise nicht oder nur zu einem hohen Preis an den Hersteller zu beschafTen. Ein Referenz- 
gerat kann dann leichter und kostengianstiger verwendet werden. 

Diese Arbeit wurde finanziert von der Siemens AG im Rahmen des Fachgremiums MeB^ und Automatisierungstech- 35 
nik innerhalb der Forschungskooperation zwischen Siemens und der Technischen Universitat Berlin. Projektpartner war 
die Abteilung AUT E33 D in Berlin, inzwischen abgelost durch die Tektronix Berlin GmbH. 

Diese Arbeit gliedert sich wie folgt: In Kapitel 2 wird der Stand der Technik in den Bereichen Protokoll-Engineering 
und ProtokollmeBtechnik dargestellt sowie ein Uberblick uberbekannte maschinelle Lernverfahren gegeben. Auf dieser 
Grundlage erfolgt eine ausfuhrliche, aber noch informelle Definiuon der oben beschriebenen beiden Teilaufgaben. In Ka- 40 
pitel 3 wird die erste Teilaufgabe formalisiert, analysiert und die zugehorige Losung erarbeitet. Das Kapitel schlieBt mit 
der Wiedergabe von Erfahrungen aus der praktischen Anwendung des entwickelten Verfahrens. Kapitel 4 hat die z weite 
Teilaufgabe zum Inhalt, von der Formalisierung der Aufgabe iiber die Entwicklung zweier neuer Lernalgorithmen fiir un- 
terschiedliche Teilprobleme und der Beschreibung des Gesamtverfahrens bis zu Ergebnissen der experimentellen An- 
wendung. In Kapitel 5 erfolgen eine vergleichende Bewertung beider Verfahren und der Anwendungsergebnisse mit ei- 45 
ner kritischen Einstufung der Tauglichkeit fiir den praktischen Einsatz und eine Analyse, welche Ansatzpunkte fur Wei- 
terentwicklungen die automatisierte Verhaltensanalyse bietet, um Nachteile der entwickelten Verfahren zu iiberwinden. 
Kapitel 6 faBt die Ergebnisse der Arbeit zusammen. 

Kapitel 2 50 
Hintergrund und Aufgabe 

In diesem Kapitel soli die wissenschaftlich-technische Grundlage dargestellt werden, auf der die neuen Ansatze dieser 
Arbeit aufbauen. Dies schlieBt sowohl den Stand der Technik im Bereich der Behandlung von Kommunikationsprotokol- 55 
len ein als auch die bekannten Arten maschineller Lernverfahren und ihre prinzipielle Eignung fiir das Erlemen von Pro- 
tokollregeln. Am Ende des Kapitels erfolgt, in Abgrenzung von der bekannten Technik, eine informelle Definition der im 
Rahmen der Arbeit bearbeiteten Aufgaben. 

2.1 Stand der Technik 60 

In dieser Arbeit geht es um die automatisierte, d. h. maschinelle Analyse von Komrnunikation sprozes sen. Wesentliche 
Grundlage hierzu sind die Modellierung und formale, also maschinell verarbeitbare Beschreibung von Kommunikations- 
protokollen. Relevante Teilbereiche, die jeweils in Unterabschnitten behandelt werden, sind das international standardi- 
sierte Referenzmodell fiir digitale Komrnunikation, der Einsatz formaler Methoden in den verschiedenen Phasen des 65 
Protokoll-Engineering und amMarkt existierende Werkzeuge und Verfahren der ProtokollmeBtechnik. Ein weiterer Un- 
terabschnitt beschreibt die bekannten Ansatze zum maschinellen Lemen, die Beruhrungspunkte zur zweiten Teilaufgabe 
aufweisen, dem Erlernen von Protokollxegeln. 
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2.1.1 OSI-Referenzrnodell 

Die zum Ansatz der offenen Kommunikation zwingend erforderliche intemationale Standardisierung von Kommuni- 
kationsprozessen lauft ab unter dem Dach zahlreicher Organisationen, von denen folgende zwei die groBte Bedeutung 
5 haben: 

- Die ITU (International Telecommunication Union), fruher CQTT (Comite Consultatif International Telegra- 
phiqe et Telephonique) ist der intemationale Dachverband der nationalen Netzbetreiber-Gesellschaften. Ihre Tele- 
kommunikations-Sektion (ITU-T) beschlieBt Empfehlungen, die zwar nicht rechtlich verbindlich sind, aber de facto 

10 Standardcharakter haben. 

- Die ISO (International Organization for Standardization), der Dachverband der nationalen Norrnungsinstitute, 
verabschiedet Internationale Standards. Auf dem Gebiet der Telekommunikation erfolgt eine enge Zusammenarbeit 
mitderlTU. 

15 Gemeinsame Grundlage - und Ursprung der allgemeinen Terminologie - ist das 1984 verabschiedete Referenzmodell 
fur offene Kommunikationssysteme (open Systems interconnection - basic reference model [IS084], typischerweise 
OSI-Modell genannt. Es teilt die Funktionalitat einer digitalen Kommunikationsverbindung in sieben logische Schichten 
auf. Zentraler Gedanke dabei ist, daB jede Schicht einen nutzbaren Dienst erbringt und der nachsthoheren Schicht zur 
Verfugung stellt, indem sie den Dienst der nachsttieferen Schicht verwendet und unter Verwendung eigener Protokoll- 

20 mechanismen erweitert. 

Die Standardisierung konkreter Kommunikationsprotokolle erfolgt im groBen und ganzen schichtweise, so daB sich in 
der Implementierung ein Protokollstapel ergibt. Im Sinne des klassischen Abstraktionsgedankens im Software-Enginee- 
ring sollte jede Protokollschicht von den konkreten Mechanismen abstrahieren, die tiefere Schichten zur Dienstrealisie- 
rung nutzen, d. h. von den konkret verwendeten tieferen Protokollen. Aufgrund besonderer Anforderungen in prakti- 
25 schen Kommunikationsumgebungen gelingt das jedoch nur teilweise, so daB zuweilen verfeinerte bzw. modifizierte Re- 
ferenzmodelle zur Anwendung kornmen, zum Beispiel in der modernen Breitbandkommunikation auf Basis der ATM- 
Vermittlungstechnik (asynchronous transfer mode, asynchroner Ubertragungsmodus) [Sie94]. 

2.1.2 Formale Methoden 

Im Zuge der Entwicklung offener Kommunikationssysteme entstand der Bedarf nach eindeutigen und vollstandigen 
Beschreibungen fiir Kommunikationsprotokolle, d. h. nach formalen Protokollspezifikationen. Im Rahmen eines regel- 
rechten Entwicklungsprogramms wurden daher zwischen 1981 und 1987 drei Spezifikationssprachen entwickelt und 
schlieBlich standardisiert [Hog89]: SDL (specification and description language) [CCI87], LOTOS (language for the 
35 temporal ordering specification of observational behaviour) [IS087b] und Estelle [IS087a]. Sie basieren auf zwei ver- 
schiedenen theoretischen Ansatzen, namlich den ProzeBalgebren bzw. den erweiterten endlichen Automaten. Diese 
grundlegenden Kalkule und die auf ihnen aufbauenden Spezifikationssprachen werden in den folgenden Abschnitten 
kurz, skizziert. 

40 ProzeBalgebren 

Dieses Kalkiil zur Beschreibung nebenlaufiger Prozesse geht zuriick auf die Arbeiten [Mil80] und [Hoa85]. In den 
ProzeBalgebren wird ein Verhalten durch einen Term beschrieben, dessen operationale Semantik durch ein markiertes 
Transitionssystem (labelled transition system, LTS) wiedergegeben wird. Mathematisch ist ein LTS ein.Tripel (S, - 1 * , A) 
45 aus: 

- S, einer Menge von Zustanden, 

- A, einer Menge von Aktionen (actions), 

- C SxA U [x] xS, einer Menge von Transitioned 

50 

Somit entspricht ein LTS strukturell einem endlichen Automaten. Jedes LTS kann eine Menge von Spuren (traces) zei- 
gen, die aus einer liber die Transitionsrelation gebildeten Sequenz von Aktionen bestehen. T ist eine ausgezeichnete 
Aktion, die interne Aktion, die von der Umgebung des Prozesses aus nicht beobachtbar ist. 

Charakteristisch am ProzeB algebra- Ansatz ist, daB das LTS durch . einen Term definiert wird. In diesem konnen fol- 
55 gende Operatoren auftreten, die jedoch teilweise redundant sind, so daB in konkreten. ProzeBalgebren eine Auswahl die- 
ser Operatoren vorkommt: 

- atomare Aktion aus A U [%} 

- sequentielle Verkettung einer Aktion mit einem bereits definierten Verhalten 
60 - Parallelisierung zweier Verhalten 

- nichtdeterministische Auswahl zwischen zwei Verhalten 

- Verbergen einer oder mehrerer Aktionen in einem Verhalten 

- Umbenennen von Aktionen in einem Verhalten 

- Verhaltensrekursion 
65 - Termination 

- Blockierung (deadlock) 

Bei der Parallelisierung von Verhalten ist entscheidend, daB die Einzelverhalten uber gleichnamige Aktionen synchro- 
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nisiert werden, wovon X ausgenornmen ist. 

Die so definierten LTSs werden ublicherweise in Form von Baumen dargestellt, deren Kan ten mit den Aktionen be- 
zeichnet sind und deren Knoten sich mit Zustanden identifizieren lassen. Beispielsweise liefert in CCS (calculus of com- 
municating Systems, Kalkul fur kommunizierendeSysteme) [Mii80] der Term 

5 

coin. (tee_button. tee + cof fee_button.cof fee) 

das in Figur A.l dargestellte Modell eines Getrankeautomaten, ein beliebtes Beispiei in der Literatur uber ProzeBalge- 
bren. ■ 

Die Semantik.der Verhaltensterme kann formal auf zwei Arten deflniert werden: einerseits durch Ableitungsregeln, 10 
und andererseits, wie der Begriff ProzeBalgebra nahelegt, durch ein Axiomensystem, mit dem sich Aquivalenzaussagen 
uber Terme ableiten lassen. Da es mehr als 100 Aquivalenzbegriffe fur ProzeBbeschreibungen gibt, ist diese Axiomati- 
sierung alles andere als eindeutig. Ein Beispiei fur eine Ableitungsregel ist die folgende Definition des Auswahioperators 
ausCCS: 

15 

Ex A E 
E\ + £*2 E 
E2 ~h E\ — ^ E 

-• ■ 20 

Dies bedeutet: Wenn Verhalten Ei mit der Aktion u in Verhalten E ubergeht, dann konnen sowohl Verhalten E! + E 2 als 
auch Verhalten E 2 + E : ebenfalls die Aktion u ausfuhren und sich anschlieBend gemafi E verhalten. 

. Erweiterte endliche Automaten 

25 

Endliche Automaten (finite state machines, FSMs, fur den Protokollsektor beispielsweise deflniert in [vBP94]), sind 
der grundlegendste Ansatz zur Spezifikation von Systemverhalten und Kominunikationsprotokollen. Als operationaler 
Ansatz weisen endliche Automaten eine groBe Nahe zu moglichen Implementierungen auf. 

Eine FSM A ist ein Sextupel A = (S, X, Y, 5, S 0 , E) aus ([vBP94]): 

30 

- S, einer endlichen Menge von Zustanden, 

- X, dem endlichen Eingabealphabet, 

- Y, dem endlichen Ausgabealphabet, 

- 8£ SxXxYxS, der Transitiohsrelation, 

- So € S, dem Startzustand, 35 

- E Q S, der Menge der Endzustande. 

Die Transitionsrelation 5 gibt an, welche Eingaben in einem Zustand welche Ausgaben hervorrufen konnen und in 
welchen Folgezustand der Automat anschlieBend wechselt. 

In realen Protokollen werden haufig Sequenznummern und Bezeichner verwendet, die nicht ubersichtlich mit endli- 40 
chen Automaten zu beschreiben sind. Daher wird das Modell des endlichen Automaten um eineh Datenteil aus Zustands- 
variablen erweitert, wornit man zum Modell des erweiterten endlichen Automaten (extended finite state machine, EFSM) 
kommt. Wahrend der zugrundeliegende endliche Automat den KontrollfluBaspekt des Protokolls beschreibt, ist der Da- 
tenfluBaspekt mit Hilfe der erweiternden Zustandsvariablen spezifiziert. 

Mathematisch client die aktuelle Wertbelegung der Zustandsvariablen dazu, die Menge der jeweils zulassigen Transi- 45 
tionen einzuschranken. Die Eingaben und Ausgaben werden ebenfalls um Datenfelder erweitert. Die Transitionen kon- 
nen Veranderungen der Variablenbelegung verursachen, in Abhangigkeit von den Datenfeldinhalten der zugeordneten 
Ein- oder Ausgabe. In der Literatur gibt es keine vollig einheitliche und originale formate Definition der EFSM, Man be- 
achte aber, daB der einzige formale Unterschied zwischen FSMs und EFSMs in der Endlichkeit der Zustandsmenge liegt: 
Jede EFSM mit endlichen Wertebereichen aller Zustandsvariablen kann auch als aquivalente FSM modelliert werden. 50 
Nur bei Zustandsvariablen mit unendlichem Wertebereich ergibt sich tatsachlich eine groBere Modellierungsmachtigkeit 
[Hog89]. 

LOTOS 

55 

LOTOS ist die 1987 von der ISO standardisierte Spezifikations spr ache auf ProzeB algebra-Basis. Das sogenannte Ba- 
sic-LOTOS verwendet die in Abschnitt 2.1.2 aufgefiihrten Operatoren bis auf die Umbenennung, dafiir kommen noch 
Parallelisierungsoperatoren dazu, die gar nicht bzw. nur auf einer gewissen Aktionsmenge synchronisieren. 

Um den DatenfluBaspekt realer System- und Protokollspezifikationen abzudecken, enthalt das vollstandige LOTOS 
auBerdem ein Datenmodell mit Wertubergabe und Mustervergleich (pattern matching). Abstrakte Datentypen konnen 60 
mit Hilfe der algebraischen Spezifikationssprache ACT ONE deflniert werden. 

SDL 

SDL ist die standardisierte Spezifikationsprache der ITU. Sie basiert auf dem Konzept der erweiterten endlichen Au- 65 
tomaten. Datentypen konnen - wie bei LOTOS - in ACT ONE spezifiziert werden. Um verteilte Systeme beschreiben zu 
konnen, kann sich eine Systemspezifikation aus mehrereni uber Kommunikationskanale miteinander verbundenen er- 
weiterten endlichen Automaten zusammensetzen, die in SDL Prozesse genannt werden. Die uber die Kanale ausge- 
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tauschten Signale werden in Warteschlangen aufbewahrt, es handelt sich also urn asynchrone Komrnunikation. 

Als Besonderheit verfugt SDL uber zwei verschiedene Notationen, eine textuelle (SDL/PR, printed representation) 
und eine aquivalente grafische (SDL/GR, graphical representation). Damit kann fur den jeweiligen Einsatzzweck -z.B. 
interaktive Eingabe gegenuber maschineller Verarbeitung - die jeweils geeignetere Darstellung Verwendung finden. Fi- 
5 gur A.2 zeigt ein Beispiel fur eine einzelne Transition in der grafischen Notation SDL/GR: Nach Empfang des Signals 
ConReq im Zustand Idle wird die Zustandsvariable c inkrementiert, das Signal ConAck gesendet, und der ProzeB wech- 
selt in den Zustand Connecting. 

In SDL gibt es auch Moglichkeiten zur Behandlung von Zeit. Es lassen sich Zeitgeber definieren, die besondere Si- 
gnale in der Warteschlange des Prozesses ablegen, sobald sie ablaufen. Nach dem auch als SDL-87 bezeichneten Stan- 
10 dard [CCI87] wurde 1992 eine Erweiterung von SDL urn objektorientierte Konzepte stand ardisiert [F094]. 

Estelle 

Estelle ist die automatenbasierte Spezifikationssprache der ISO. Konzeptionell unterscheidet sich Estelle nicht we- 
15 sentlich von SDL. Es konnen ebenfalls mehrere kommunizierende Automaten definiert werden, die hier Module heiBen. 
Estelle ist syntaktisch stark an Pascal angelehnt und ubemimmt dessen Datenmodell. Datentypen werden also nicht, 
wie in SDL, uber algebraische Spezifikationen, sondern iiber ausfuhrbare Implementierungen definiert. Eine graphische 
Representation wie fur SDL ist fur Estelle nicht standardisiert 

20 Nachrichtensyntax 

Zur vollstandigen Beschreibung eines Kommunikationsprotokolls gehort neben der Spezifikation des Verhaltens auch 
die exakte Beschreibung der einzelnen Nachrichten, die im Rahmen des Protokolls zwischen den Komrnunikationspart- 
nern ausgetauscht werden. Diese Nachrichten werden als Protokolldateneinheiten (protocol data units, PDUs) bezeich- 

25 net. % 

Aus Sicht des Protokollentwurfs enthalten die PDUs Daten bestimmter Datentypen. So kornmen haufig ganze Zahlen 
z. B. fur Sequenznummern vor, Aufzahlungstypen fur die Unterscheidung verschiedener Arten von Nachrichten oder 
Zeichenketten fur Adressierungsinformationen. Zusamrnen ergibt sich so eine Art Signatur des Protokolls, die als ab- 
strakte Protokollsyntax bezeichnet wird. 

30 Bei der Ubertragung der PDUs wird eine Kodierung in eine Bitfolge benotigt, urn die PDUs an die nachstniedrigere 
Protokollschicht ubergeben zu konnen. Diese Kodierung heiBt konkrete Transfers yntax der ProtokoUnachrichten und 
muB die korrekte Wiederherstellung der abstrakten Nachrichtenstruktur beim Empfanger gewahrleisten. 

Bei zahlreichen Protokollstandards werden die abstrakte PDU-Syntax und die konkrete Transfersyntax nicht streng 
getrennt, sondem - beispielsweise durch schematische Darstellung der Nachrichten auf Bitebene - gleichzeitig definiert, 

35 Beispiele dafiir sind [CCI88, IT94a, IT94b]. Die ITU hat aber auch eine Beschreibungssprache, die abstract syntax no- 
tation one (abstrakte Syntaxnotation eins, ASN.l) standardisiert. ASN.l definiert so wohl Datentypen. fur die abstrakte 
Syntax als auch eine konkrete Transfersyntax zur Ubertragung dieser Datentypen als Bitstrom. 

2. 1. 3 Protokoll-Engineering 

40 

Die in Abschnitt 2.1.2 aufgefiihrten Methoden und Sprachen finden Einsatz in verschiedenen Phasen der Protokollent- 
wicklung. Dieser Abschnitt stellt die.iiblichen Teilaufgaben des Protokoll-Engineering vor und beschreibt die Fahigkei- 
ten existierender Ansatze und Werkzeuge, die in den einzelnen Bereichen verwendet werden. 

45 Spezifikation 

Der primare Einsatzzweck formaier Sprachen im Protokollbereich ist die eindeutige Beschreibung, also Spezifikation 
eines Protokolls. Dabei muB unterschieden werden zwischen der Spezifikation des Dienstes, den das Protokoll aus Sicht 
des Benutzers erbringt, und der Spezifikation des Protokolls selbst, mit dessen Hilfe dieser Dienst erbracht werden soil 
50 [Hog89]. Der Dienst wird mit Hilfe der Dienstprimitiven beschrieben, die an den Endpunkten der Kommunikations- 
strecke (Dienstzugangspunkte, engl. service access points, S APs) zur Verfugung stehen. Das Protokoll dagegen beinhal- 
tet die Umsetzung der Dienstprimitiven in PDUs an einem einzelnen Kommunikationsendpunkt, einer Protokoll-Instanz. 

Erst der Einsatz formaier Spezifikationssprachen erlaubt eine widerspmchsfreie und eindeutige Beschreibung von 
Diensten und Protokollen. Aus diesem Grund ist auch die ITU dazu iibergegangen, in ihren Empfehlungen der formalen 
55 Protokollspezifikation Vorrang vor der fruher ausschlaggebenden naturlichsprachlichen Beschreibung einzuraumen. 
Wahrend z. B. das Breitband-ISDN-Signalisierungsprotokoll Q.2931 in [IT94b] noch mit einer nur als Erganzung dekla- 
rierten SDL-Spezifikation beschrieben ist, gilt im Standard des zugehorigen Schicht-2-Protokolls SSCOP (service speci- 
fic connection-oriented procedure, dienstspezifische verbindungsorientierte Prozedur) in [IT94a] die SDL-Spezifikation 
bereits als ausschlaggebend, wo keine Eindeutigkeit herrscht. 

60 

Validierung 

Die Validierung bestimmter Eigenschaften eines Protokolls ist eines der altesten Motive fur den Einsatz formaier Spe- 
zifikationen. v. Bockmann nennt in [Boc78] folgende wunschenswerte Eigenschaften einer Protokollspezifikation im 
65 . Automatenkalkul: 
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Erreichbarkek 

Alle Zustande des Automaten konnen iiber Folgen von Zustandsiibergangen tatsachUch erreicht werden. 

Verklemmungsfreiheit 

Das Gesamtsystem kann in keinen Zustand gelangen, aus dem kein weiterer Zustandsiibergang mogkch ist. 

Lebendigkeit 

kann" ^ ZuStands ° ber S an S ist ^"dig, wenn er von jedem erreichbaren Systemzustand aus erreicht werden 

Konformitatstest 

• Konformitatstest (conformance test) nennt man die Priifung, ob eine Protokollimplementierung sich gemaB der Proto- 
£f™ V ? rh f Das hierzu ist der aktive ProtokoUtest. ffier Ubernimmt ein dedizieLTTesigeS dTe 

Aufgabe des oder der Kommumkauonspartner der zu testenden Implementierung (implementation nnder tert 

Der Konformitatstest hat eine besondereprakuscheBedeu^ 
oder in Verbindung mit offentkchen Kommnnikationsnetzen betrieben werden soken u£d daher eTnT&Srung 
pflrcht unterkegen. Aus diesem Grund hat die ISO eine Methodologie und Nomenklatur fur den itoSS 
mertund als Intemahonalen Standards 9646 [IS091] verabschiedet. Innerhalb dieses Standards wird au^h dt Tes tbe- 

^I^T 7 CN ^ *t tabu !f C ° mbined notation ' ^inierte Baum- und TabeUennoS) *£S2Ztl 
[TKB91] erfolgt e.ne formahsrerte DarsteUung von Konzepten und Begriffen aus dem IS 9646, im wesentkchen aufbau 
endaufdemKonzeptvonmarkiertenTranskionssystemen(LTS) - wesenuicnen aurbau 

EineTestsuite fur einen Konformitatstest verfolgt mehrere Testzwecke (test purposes) und wkd in Test E ruppen .test 
groups) emgetekt, die aus emzekien Testfallen (test Gases) bestehen. Ein TestfaU, wie er sich in TTCN besSen 5 
besteht aus em oder mehreren Exngaben vom Tester an die IUT und baumformigen Verzweigungen k , iSSSSt 
der oder den Antworten der IUT. An den Blattern dieses Baumes stehen Testurteile (verdicts), und zwi PG92] 

- passiert (pass) fur korrektes Verhalten, 

- fehlgeschlagen (fail) fiir nicht korrektes Verhalten und 

- unklar (inconclusive) fur ein Verhalten, das sich weder eindeutig als korrekt noch als inkorrekt einstufen laBt. 

• J ^ *S dC « Zu S an S sm6 f ^hkeiten zur IUT kommen mehrere Testmethoden in Frage. Figur A 1 zeiet ein Beisniel fur 
erne Testkonfiguration, m der der Tester entfemt iiber das Kommunikationsmedium nkt deflOT .^SSSSSSS 
erne zusatzkche, nur dem Test drenende Kommunikationsverbindung einen oberen Tester (upper tester OT) s eu e rt der 
f ur dre uber den Dienstzugangspunkt der IUT ausgetauschten Dienstprimitiven zustandig ist 

r£m^ d ^ r6t °^° UtheOT i e araaus g, iebi 8 sten in de ' Lita-atur behandelte Thema ist die automatische Erzeugung von 

LL91, A 88]. Bochmann und Petrenko geben in [vBP94] einen umfassenden Uberbkck iiber das Problem des ProtokoU- 
tes J und seine Wechselwarkungen mit der unterkegenden forma.en Protokokspezifikation. Je nach^r^erifikatton 
lassen sich verschiedene Kritenen zum Grad der Testabdeckung bzw. Fehlererfassung (test coverage bzw fault cove 
rage) durch eine - vorzugsweise automatisch erzeugte - Testsuke definieren. Das Ziel de vokstandkfen Fehlererfa™ 

sind, deren Erkennung durckeme Testsuite angestrebt wkd. Ubliche Annahmen zur Bildung von FehlermodeUen sTnd 
eine obere Schranke fur die Zustandsanzahl im FSM-Modek der Implementierung oder eine Beschrankur^ auf lu g a 
befehler bei ansonsten korrekt implementierter FSM [vBP94]. «muu B dm ^usga 

Im Automatenmodell stoBt das Ziel einer voUstandigen Fehlererfassung auf Schwierigkeiten sobald die Snezinkation 

kann welche nachste Ausgabe von einem Zustand aus erfolgt, lassen sich in trivialer Weise Automaten mit Zustanden 
kons^uieren, deren Erreichen offensichtkch von keiner endUchen Testsuite erzwungen werden kann. Fo^gSustSuS 
-rransrtionen ernes solchen mchtdetermmismusbehafteten Zustands lassen sich also durch Testen niemals richer iiberpru 
Abw^T h t "J ^ T kOUteSt b T 86116 Be S™ dun g der wohlbekannten Tatsache, daB durch Testen niemXe 
ZTtTs £ e V n< Vh h r SCI ! T'T T ^ manChmal lhfe Al ™hek. Im Kontext der ProzeBalgebra und 
de LTSs lassen sich bessere formale Resultate beweisen (z. B. [FvB9l]), wek dieses Paradigma von synchroner Kom- 
mumkation ausgeht: Ein TesterprozeB hat die Moglichkeit, alternative Aktionen der IUT selektiv zu bk^ckieren DieTe 
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Leistungsbewertung 



Dje bisher behandelten Aufgabestellungen und Methoden betreffen ausschlieBlich die Modellierung und Analyse des 
ogischen Verhaltens von Kommunrkatronssystemen. Auf der anderen Seite besteht em Bedarf an ModeUierungswerS 
zeugen, die es erlauben, Lejstungsaspekte von Kommunikationssystemen anhand eines Modells zu ermitteln Solche 
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- Der erreichbare mittlere Durchsatz von Nachrichten durch bestimmte Systemkomponenten. 

- Die Wahrscheinlichkeit, daB eine bestimmte fehlerhafte oder unerwiinschte Situation auftritt. Dafiir kommen bei- 
spielsweise Pufferiiberlaufe, Uberschreitungen von Zeitschranken oder Kollisionen beim Zugriff auf Rundsende- 
medien wie beim Ethernet in Frage. 

- Mittlere Verzogerungen bestimmter Systemantworten. 

- Erwartungswerte fur SystemgroBen wie Pufferf tills tande. 

Deterministische KenngroBen erhalt man entweder als Extremwerte der beschriebenen stochastischen GroBen oder in 
vollstandig deterministischen Leistungsmodellen. Beispiele sind: 

- Der maximale Fullstand eines Puffers, wichtig fur dessen Dimensionierung. 

- Die maximale Antwortzeit auf eine Nachricht oder ein Ereignis, wichtig beim Entwurf von Echtzeitsystemen. 

- Die tatsachliche Laufzeit einer Nachricht im Falle deterministischer Modellierung. 

15 Im Gegensatz zu den beschriebenen logischen Modellierungsansatzen brauchen Leistungsmodeile nicht alle Feinhei- 
ten der Protokollabwicklung zu beinhalten. Statt dessen mussen relevante Zeitdauem fur Zustandswechsel, im Extrem- 
f all als Wahrscheinlichkeitsverteilungen dieser Zeiten, und Auswahlwahrscheiniichkeiten fur nichtdeterministische Ent- 
scheidungen modelliert werden. Die folgende Liste nennt eine Reihe von Modellierungswerkzeugen zur Leistungana- 
lyse: 



10 



20 



- Warteschlangenmodelle sind Modeliierungen stochastischer Prozesse, bei denen Warteschlangen mit einer be- 
stimmten Bedienstrategie und ein BedienprozeB mit einer bestimmten Verteilungsfunktion der Bedienzeit als Ele- 

mentedienen. . " 

• - Stochastische Petri-Netze [Mol82] sind Erweiterungen von Petrinetzen [Rei85] urn Zeitkonzepte. Damit lassen 
25 sich verteilte und nebenlauflge Systeme in ihren Zeitaspekten grafisch modellieren. Viele Klassen stochastischer Pe- 

trinetze erlauben eine Leistungsbewertung nicht nur durch Simulation, sondern auch durch numerische Analyse des 
durch das Netz beschriebenen stochastischen Prozesses. 

- Zeiterweiterte ProzeBalgebren sind Erganzungen des in Abschnitt 2.1.2 beschriebenen ProzeBalgebra-Konzepts 
um Zeitaspekte. , 

30 - Spezielle Simulationssprachen erlauben die B.eschreibung von verteilten und nebenlaufigen Systemen aur einer 

Ebene, die naher bei den Programmiersprachen liegt. Das Vernal ten einzelner Systemkomponenten laBt sich meist 
direkt'als Programmfragment spezirlzieren. Solche Modelle erlauben, weil sie sehr allgemeine Modellierung er- 
moglichen, nur noch die Simulation zur Ermittlung von LeistungskenngroBen. 



35 



40 



45 



Es ist heute ein offenes Problem, ob es moglich und sinnvoll ist, zur vollstandigen logischen Spezifikation und zur Lei- 
stungsbewertung ein und dasselbe Modell zu verwenden. Ein solches Vorgehen hatte die Vorteile, daB die ModelUerung 
nur einmal erfolgen muB und keine Inkonsistenzen zwischen beiden Modellierungssichten infolge von Modellierungs- 
fehiern entstehen konnen. Sowohl die Simulation als auch die Analyse von Leistungsmodellen reagieren jedoch sehr 
empfindlich auf die GroBe des Zustandsraums, den das Modell aufspannt. Daher erfolgt die Leistungsbewertung heute 
meist anhand von Modellen, die manuell auf die relevanten Aspekte reduziert sind und vom vollstandigen logischen Ab- 
lauf abstrahieren. Eine solche Reduktion in formal korrekter Weise automatisch vornehmen zu konnen ist die Grundvor- 
aussetzung, um die logische und die Leistungs analyse schlieBlich zusammenzufiihren. 



Protokollmonitore 



Fiir keines der bisher aufgefiihrten Konzepte trifft der in der Einleitung umrissene Einsatzkontext einer passiven Mes- 
sung im laufenden Kommunikationssystem zu. Der Stand der Technik in diesem Bereich soil jetzt untersucht werden. 

Seit geraumer Zeit sind Gerate kommerziell verfiigbar, die uneinheitlich als Protokolltester, Protokollmonitore oder 
Protokollanalysatoren bezeichnet werden. Im folgenden soli der Begriff ProtokoUmonitor fur diese Gerateklasse verwen- 
50 det werden. Es handelt sich um transportable Rechner, die meist mittels spezieller Schnittstellenmodule und Software in 
der Lage sind, Messungen an ein oder mehreren Beobachtungspunkten in einem Kommunikationssystem vorzunehmen 
[McC90, HMS91, SMM98]. Folgende Funktionsmerkmale sind typisch fiir Protokollmonitore: 

- Automatische Dekodierung und menschenlesbare Anzeige der Nachrichteninhalte. Statt eines binar oder hexade- 
55 zimal dargesteliten Ur-Datenstroms sieht der Benutzer die Inhalte der einzelnen Datenfelder der Nachrichten mit 

den Feldbezeichnungen und in einer passenden numerischen oder textuellen Representation. Diese Aufgabe ent- 
spricht der Ruckiibersetzung von der konkreten Transfer syntax des Protokolis in die abstrakte Syntax (vgl. Ab- 
schnitt 2. 1.2). 

- Erkennung und Anzeige von Kodierungsfehlem, d. h. von Fallen, in denen die Kodierungsregeln des angezeigten 
60 Protokolis fiir einzelne Nachrichten verletzt werden. Beispiele sind Bereichsuberschreitungen fiir numensche Feld- 

inhalte oder das Fehlen von Datenfeldern, die zwingend vorgeschrieben sind. 

- Setzen von Filtern, um nur bestimmte Nachrichten - z. B. nur die Nachrichten einer bestimmten Schicht oder nur 
einen Nachrichtentyp mit ganz bestimmten Feldinhalten - anzuzeigen. Solche Filter erlauben es, bestimmte Kom- 
munikatiOnsituationen schrittweise einzugrenzen und zu isolieren. 

65 - Statistiken erzeugen, die das Aufkommen an Kommunikationsverkehr nach unterschiedlichen Kritenen anzei- 

gen. Als Kriterien kommen die verschiedenen auf derselben Strecke laufenden Protokolle in Frage, verschiedene 
virtuelle Verbindungen, einzelne Nachrichtentypen oder Kombinationen davon. 
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Die Analyse des Kommunikationsverhaltens iiber eine Folge von Nachrichten hinweg gehdrt nicht zu den Fahigkeiten 
heutiger kommerzieller Protokollmonitore. Diese Aufgabe muB vom Benutzer eines Protokollmonitors in Handarbeit er- 
ledigt werden. Der Benutzer kann dabei lediglich auf die Funktionsmerkmale des Monitors zuriickgreifen, beispiels- 
weise Filter setzen und diese schrittweise einengen. 

Spuranalyse 

Die automatische, nachrichteniibergreifende Analyse eines Kommunikationsverhaltens wird in der Literatur als Spur- 
analyse (trace analysis) bezeichnet. Hierbei wird eine Teilmenge der Interaktionspunkte (interaction points, IPs) einer 
IUT passiv beobachtet, urn eine Spur ihres Verhaltens aufzuzeichnen. Der Analysator greift in keiner Weise in den Kom- 
munikationsvorgang ein. Er rekonstruiert die Folge interner Aktionen der IUT, die im Einklang stehen mit der Protokoll- 
spezifikation, mit den beobachteten Eingaben in die IUT und ihren beobachteten Ausgaben. 

Im Vergleich zu den zuvor beschriebenen Themenkomplexen Spezifikation, Validierung, Verification, aktiver Proto- 
kolitest und Testgenerierung ist in der Literatur vergleichs weise wenig zum Thema Spuranalyse veroffentlicht worden. 

Zwei der ersten Papiere, die einen Uberblick iiber die Spuranalyse von Kommunikationsprotokollen liefern, sind 
[JvB83] und |1JP86]. Diese Arbeiten konzentrieren sich zwar hauptsachlich auf die Validierung der Verfeinerungen von 
Speziflkationen, aber sie fuhren bereits grundlegende Begriffe und Losungsvorschlage fur das Testen von Protokollim- 
plementierungen ein. 

Eine Implementierung eines "passiven Monitors" - nach der Terminologie der vorliegenden Arbeit eines Spuranaly- 
sators - fur die gleichzeitige Analyse mehrerer OSI-Protokollschichten wird in [CL91] beschrieben. Den Schwerpunkt 
bildet dort eine beispielhafte Anwendung des Analysators auf das X.25-Protokoll [CCI88]. Das beschriebene System ba- 
siert auf in C kodierten Zustandsmaschinen und erfordert ein vollstandiges Zurucksetzen der Kommunikationsverbin- 
dung, um mit einem definierten Ausgangszustand seine Analyse beginnen zu konnen. 

Die Arbeit [KCV92] prasentiert einen theoretischen Ansatz, der vom FSM-Kem einer in einer Untermenge von 
Estelle formulierten Spezifikation ausgeht und zunachst aile Folgen von internen Aktionen (action paths) aufzahlt, die 
die Spezifikation zulaBt. AnschlieBend werden durch symbolische Auswertung alle Pfade herausgeloscht, die nur wegen 
der Zustandsvariablen oder Nachrichtenparameter ungultig sind. Dieses Verfahren ist vom theoretischen Standpunkt aus 
attraktiv, da es sowohl zur Spuranalyse als auch zur Testfallgenerierung verwendet werden konnte. Allerdings ergeben 
sich Aufwandsprobleme aus der Tatsache, dafi hier mit ganzen Pfaden anstelle von Zustanden gearbeitet wird. 

In [BvBDS91] wird Spuranalyse gegenuber LOTOS-Spezifikatiorien behandelt und das Analysewerkzeug TETRA 
vorgestellt. Seine Prolog-Implementierung des Spuranalysealgorithmus verwendet uninstantiierte Prolog-Variablen, um 
das Problem nichtdeterministischer Auswahlen und nichtdeterrninistischer Werterzeugung zu losen. Dieser Ansatz bein- 
haltet keine Zeitbedingungen, weil das Original- LOTOS - ohne Zeiterweiterung wie beispielsweise in [Sch94] - keine 
Zeit modelliert . AuBerdem ist die Auswertung von LOTOS- und Prolog-Konstrukten ineffizient. 

Die Arbeit [EvB95] stellt den Tango-Ubersetzer vor, der eine Estelle-Spezifikation mit einem einzelnen Modul und 
ohne Zeitbedingungen in einen protokollspezifischen Spuranalysator ubersetzt. Dieser Ansatz ist sehr elegant,, weil 
Estelle direkt verwendet wird. Die Arbeit spricht alle wesentlichen Aspekte einer realen Sparanalyse in Echtzeit' d. h. 
wahrend der Kommunikation, an. 

2.1.4 Lernverfahren 

Im Laufe der Zeit sind immer mehr Verfahren entwickelt worden, die aus einem Satz von Beispielen, einer Trainings- 
menge, maschinell eine Klassifikationsfunktion konstruieren, die charakteristische Eigenschaften der Trainingsmenge 
beschreibt und weitere, nicht in der Trainingsmenge enthaltene Beispiele geeignet klassifizieren soil. Dazu gehoren so 
unterschiedliche Ansatze wie statistische Klassifikatoren, Abstandsklassifikatoren, Verfahren auf Basis neuronaler 
Netze, z. B. Backpropagation [RM86], Entscheidungsbaumverfahren [UW81] sowie das Konzept der Induktiven Logi- 
schen Program mierung (inductive logic programming, ILP) [BM95, LD94, L*96]. 

Nach Kenntnis des Autors ist in der Literatur bisher nicht von der Anwendung eines Lernverf ahrens berichtet worden, 
um Regeln eines Kommunikationsprotokolls aus einer beobachteten Protokollabwicklung abzuleiten: Im folgenden Ab- 
schnitt werden daher einige grundlegende Eigenschaften dieser Lemaufgabe angesprochen, um einen Bezug zwischen 
den bekannten Verfahren und der hier betrachteten Anwendung herstellen zu konnen. Die Abschnitte danach geben ein 
bekanntes theoretisches Resultat zur Losbarkeit dieser Aufgabe wieder und gehen auf die Eignung bekannter Verfahren 
ein. 

Charakterisierung der Lemaufgabe 

In Abschnitt 2.1.2 wurden Formalismen erlautert, die man zur Spezifikation von Protokollen verwendet. Aus der 
Kenntnis dieser Methoden laBt sich ableiten, da!3 das Erlernen eines Protokolls formal betrachtet das Erlernen einer Spra- 
che darstellt, und zwar der Sprache der mit dem Protokoll vereinbaren Folgen beobachteter PDUs. Diese wird als Spar- 
sprache (trace language) des Protokolls bezeichnet und durch die Semantik des ProzeBalgebra- oder Automatenmodelis 
der Protokollspezifikation originar definiert. 

In der Einleitung wurde bereits angedeutet, daB die Protokoll ablaufe, aus denen die Protokollregeln erlernt werden sol- 
len, ausschUeBHch positive Beispiele sein werden. Diese Forderung ist eine zwingende Folge des Anwendungskontextes: 
Um im Besitz negativer Beispiele zu sein, d. h. von Beispielen mit Protokollverstoflen, oder um einen beliebigen Bei- 
spielverkehr in korrekte und fehlerhafte Ablaufe aufteilen.zu konnen, muB man die Spezifikation des korrekten Proto- 
kollverhaltens bereits zur Verfiigung haben. Dann macht es aber keinen Sinn mehr, ein Lernverfahren einzusetzen. Ohne 
Kenntnis der Spezifikation ist es aber die naheliegendste Annahme, daB man eine Referenzstrecke mit vollstandig proto- 
kollkonformer Kommunikation zur Verfiigung hat. Hieraus folgt, daB das Lernverfahren ailein mit posiuven Beispielen 
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auskommen muB. In der Literatur wird unterschieden zwischen iiberwachtem und unubeiwachtern Lernen (supervised 
bzw. unsupervised learning) [HKP91]. Im Fall des iiberwachten Lernens erhalt der Lerner - von eir£%edachten Lehrer- 
instanz - die Klasseneinteilung der Lehrbeispiele rnitgeteilt, z. B. eine Einteiiung in Positiv- und Negativfalle. Im zwei- 
ten Fall, der damit der vorliegenden Anwendung entspricht, sieht der Lerner ausschliefilich die Beispiele ohne jeden Hin- 
5 weis einer Klassenzugehorigkeit. 

In einigen Lernansatzen wird das Fehlen konkreter Negativbeispiele durch die Annahme einer abgeschlossenen Welt 
(closed world assumption, CWA) kompensiert. Die CWA.sagt aus, da!3 alle nicht in der Trainingsmenge enthaltenen Bei- 
spiele als Negativbeispiele gelten sollen, also 

10 E = UE, 

wenn E die Menge der negativen Beispiele, E die der positiven Beispiele und U das Universum der Klassifikationsauf- 

gabe symbolisieren. Die CWA ist beim Erlernen eines Protokolls jedoch unbrauchbar, weil aufgrund der Komplexitat 

realer Protokolle im allgemeinen nicht alle moglichen korrekten Protokollablaufe in einer Trainingsmenge vorkommen 
15 konnen. Dies sieht man leicht ein, wenn man beachtet, daB beispielsweise im Protokoll Q.2110 [IT94a] pro Protokollin- 

stanz u. a. 4 Zahlervariablen mit jeweils einem Wertebereich der Machtigkeit 2 24 vorkommen. Daraus folgt, daB sich die 

Lemaufgabe als generalisierendes Lernen aus positiven Beispielen charakterisieren laBt. 

In Protokollen kommen oft Zahlervariablen und Sequenznummern vor, uber die Bestatigungs- und Wiederholungsme- 

chanismen definiert werden (beispielsweise [IT94a, CCI88]). Exemplarisch soli hier der Fall zweier beobachteter PDUs 
20 mit jeweils einem numerischen Datenfeld, geschrieben A(x) und B(y), betrachtet werden. In solchen Fallen sagt der nu- 

merische Inhalt eines PDU-Datenfeldes allein nichts iiber die Kontextkorrektheit der PDU aus, eine Regel der Form 

x = c (c e N) 
25 ist also wertlos. Selbst eine Konjunktion der Form 
x = Cl A y = c 2 (c b c 2 e N) 

hilft nicht weiter, es sei denn, es existiert eine eigene Regel fur jeden Wert aus dem Wertebereich von x bzw. y, im obigen 
30 Beispiel der Q.2110 also vielleicht 2 24 Regeln. Denn der wirkliche, vom Protokoll verlangte Zusammenhang konnte lau- 
ten: 

y = x + l^y-x=l 

35 Es ist demnach erforderlich, daB das Lernverfahren selbst arithmetische Terme - hier etwa (y - x) - bildet, urn in den 
Regeln darauf Bezug zu nehmen. 

Losbarkeit 

40 Das in Abschnitt 2.1.4 eingefuhrte Sprachlernparadigima wird in der Literatur als induktive Inferenz (inductive infe- 
rence) [Sol64a, Sol64b] bezeichnet. Ein sehr fruhes theoretisches Resultat, das die algorithmische Losbarkeit dieses Pro- 
blems betrifft, stammt von E. M. Gold aus dern Jahr 1967 [Gol67]: Selbst regulare Sprachen konnen nicht im Limit aus 
rein positivem Beispieltext gelernt werden. Weil dieses Ergebnis so wichtig ist, soli es kurz formal vorgestellt werden. 

45 Definition 1 

Gegeben ein endliches Alphabet Z, eine Familie A von Sprachen Lei* und ein Algorithmus a, der eine Folge von 
Wortern Xi e Z* als Eingabe erhalt und eine Grammatik G als Hypothese fur die Sprache ausgibt, zu der die Xi gehoren: 

50 a(x 1? . ; ., x t ) = G (x u . . ., x t e L G ) 

Man sagt, a identifiziert eine Sprache L im Limit, wenn alle x u . ., x t e L und fur eine Schrittnummer t 0 gilt: 

Vt > t 0 a(xi, . . . ,x t ) = G = const. A Lq = L 

55 

Die Familie A von Sprachen heiBt identifizierbar im Limit, wenn es einen Algorithmus a gibt, der jedes L e A im Li- 
mit identifiziert. 

Die xi werden auch als unendlicher positiver Text fur L bezeichnet. Der Algorithmus a sieht einen immer langer wer- 
denden Text der zu lernenden Sprache und darf seine Hypothese nur endlich oft andem, bis sie gegen eine Grammatik fur 
60 L konvergiert. 

Gold hat gezeigt, daB noch nicht einmal die Klasse aller endlichen Sprachen plus einer einzigen unendhchen im Limit 
identifizierbar ist. Die regularen Sprachen konnen also erst recht nicht aus einem positiven Text gelernt werden. An- 
schaulich ist dieses Ergebnis darin begriindet, daB die Anzahl der Zustande des endlichen Automaten, der die zu lemende 
Sprache modelliert, nicht begrenzt ist. Daher existiert zu jeder noch nicht beobachteten Symbolsequenz immer auch eine 
65 Automatenhypothese, die auch diese Sequenz akzeptieren konnte. 
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Eignung bekannter Verfahren 



Aus verschiedenen der in Abschnitt 2.1 .4 genannten Griinde eignet sich kein bekanntes Lern verfahren unmittelbar fiir 
das Erlemen eines Kommunikationsprotokolls. 

Das Backpropag a tion- Verfahren (BP) [RM86] als bekanntester Vertreter der konnektionistischen Ansatze ist im Kem 5 
ein nichtlineares Regressions verfahren, das eine recht effiziente Gradientensuche im Parameterraum erlaubt. Fiir Klassi- 
rikationsaufgaben kann BP jedoch nur im iiberwachten Lernen verwendet werden, da im Falle einer konstant "1" oder 
"korrekt" lautenden Zielfunktion, quasi ungeachtet der Trainingsmenge, auch nur die Ausgabe "korrekt" erlernt wird. 
Dieser Sachverhalt ist auf weitere konnektionistische Verfahren vom Typ des iiberwachten Lemens ubertragbar, z. B. auf 
Regressionsverf ahren mit radialen B asisfunktionen [HKP9 1 ] . 10 

Ein konnektionistisches Verfahren unuberwachten Lemens sind die Merkmalskarten (feature maps) [HKP91], bei de- 
nen eine topologische Abbildung eines mit einem AhnlichkeitsrnaB versehenen Merkmalsraums in einen strukturierten 
Reprasentantenraum gelernt wird. Bei dies em Verfahren konnen - wie bei alien anderen Methoden, die auf einem vorge- 
gebenen AhnlichkeitsrnaB zur Cluster-Bildung beruhen - arithmetische Zusammenhange nicht im erforderlichen Urn-, 
fang erfaBt werden. 15 

Verfahren aus der Klasse der Entscheidungsbaume (decision trees) bilden Klassifikationsregeln als einen Baum logi- 
scher Tests, eine Darstellungsform des Lernresultats, die kompakt, effizient auswertbar und iiberdies auch furMenschen 
nachvollziehbar ist [UW81]. Diese Verfahren benotigen durchweg Klasseninformation in der Trainingsmenge, und neu 
berechnete Attribute werden auch nicht verwendet. 

Naher an die vorliegende Problemstellung kommen die Verfahren aus dem Bereich der Induktiyen logischen Program- 20 
mierung (inductive logic programming, LLP). Statt einer Partitionierung des Merkmalsraums nach einem relativ unflexi- 
blen Muster wird hier ein logisches Programm, meist in Hornklausellogik, gelernt. Der formale Grundansatz (nach 
[LD94]) ist der folgende: 

Gegeben das Hintergrundwissen B, eine Menge von Positivbeispielen E und eine Menge von Negativbeispielen E, 
finde eine Hypothese H (ein logisches Programm, z. B. in 'Hornklausellogik), so daB 25 

1. B A H |= E 

/30 

Schon aus dieser Formalisierung ergibt sich die Rolle der Negativbeispiele. ILP- Verfahren sind uberwiegend auf Ne- 
gativbeispiele oder die CWA angewiesen. AuBerdem eignen sie sich fast ausschliefilich fiir symbolische Welten, wo Pra- 
dikate aus dem Hintergrundwissen auf eine uberschaubare Zahl von Atomen angewandt werden konnen. Kein bekanntes 
LLP- Verfahren kann mit beliebigen Pradikaten uber numerische Attribute operieren, erst recht nicht arithmetische Ope- 
rationen konstruieren. 35 



2.2 Informelle Aufgabendefinition 

Nachdem der Stand der Technik beleuchtet wurde, gibt dieser Abschnitt eine Beschreibung der Aufgaben, die in dieser 
Arbeit gelost werden sollen. Dies erfolgt getrennt nach den Teilaufgaben Sparanalyse und Protokoll-Lernen. 40 

2.2.1 Sparanalyse 

Hier wird die Aufgabenstellung des Aufgabenteils Sparanalyse prazisiert, also die passive Uberprufung eines Kom- 
munikationsverhaltens anhand einer vorgegebenen Protokollbeschreibung. Dazu gehoren das Einsatzszenario fiir ein 45 
entsprechendes Priifgerat, seine Funktionalitat im Hinbhck auf die zu erhaltenen Ergebnisse der Analyse und eine Be- 
trachtung der besonderen Anforderungen, die beim Losungsansatz beachtet werden miissen. . 

Einsatzszenario 

50 

Das physische Einsatzszenario des Spuranalysators im Sinne dieser Arbeit ist in Figur A.4 dargestellt: Der Analysator 
ist mit dem Kommunikationsmedium verbunden und kann die daruber zwischen den Kommunikationspartnem A und B 
ausgetauschten PDUs mit ihren Datenfeldem mitlesen. Er hat jedoch keine Moglichkeit, in irgendeiner Weise in den Ab- 
lauf der Kornmunikation einzugreifen. 

Nur System A ist in der Figur als IUT ausgewiesen, weil der Analysator konzeptionell nur die Richtigkeit des Verhal- 55 
tens einer Partnerinstanz uberwacht. Das heiBt, daB im Falle von fehlerhaften Protokollprozeduren in jedem Fall gepruft 
wird, ob Partner A auf potentiell fehlerhaftes Verhalten von B richtig, also protokolikonform, reagiert. Wenn dagegen die 
glob ale Protokollkonformitat des beobachteten Verkehrs gepruft wiirde, also nur die Gutfallablaufe des Protokolls als 
fehlerfrei eingestuft wurden, konnte bei einer Abweichung der verursachende Kommunikationspartner nicht automatisch 
festgestellt werden. Die Festlegung des Verfahrens auf eine beobachtete Instanz oder IUT stellt keinerlei Einschrankung 60 
dar, weil der Analysator prinzipiell zwei oder mehr Prufprozesse nebenlaufig ausfuhren kann, um alle beteiligten Kom- 
munikationspartner auf korrektes Verhalten zu iiberwachen. Folglich ist ein Ansatz mit einer IUT der allgemeinere und 
daher der einzig sinnvolle. 

Figur A. 5 zeigt die logische Einbindung des Analysealgorithmus in den KommunikationsprozeB: Der Analysealgo- 
rithmus erhalt die PDUs einer Protokollschicht n, n > 1, aus dem Protokoilstapel der IUT als Eingabe. Er pruft die Ab- 65 
wicklung dieses Protokolls und der Protokolle der unmittelbar daruberliegenden Protokollschichten, insgesamt k Proto- 
kolle, k > 1 . Der Analysator erhalt dagegen keinerlei Information iiber die an den Dienstzugangspunkten (S APs) ausge- 
tauschten Primitiven. 
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In dieser Arbeit wird nicht betrachtet, wie man die Anbindung des Analysators an das Kommunikationsmedium rea- 
lisieren konnte. Diese Aufgabe stellt kein wesentliches Problem dar, sie wird z. B. von den verfugbaren ProtokollrnCni- 
toren gelost, die in Abschnitt 2.1.3 beschrieben wurden. 

Ais Grundlage der Uberprufung muB der Analysator uber ein Modell fur das korrekte Kommunikationsverhalten der 
5 IUT verfugen. Dieses Modell soli hier vom Informationsgehalt her einer formalen Protokollspezifikation gemaB dem 
Protokollstandard entsprechen. Der genaue Ansatz der Protokollmodellierung wird in Kapitel 3 erlautert und begriindet.. 

Es ist klar, daB die Uberprufung einer beliebigen Schicht nur dann sinnvolle Ergebnisse liefert, wenn alle darunterlie- 
genden Schichten ihren vorgesehenen Dienst erbringen. Wenn beispielsweise PDUs einer uberwachten Schicht ausblei- 
ben, weil sie bei der Ubertragung durch die unterliegenden Schichten zwischen der IUT und dem Analysator verloren- 
10 gehen, kann dies nicht von einer Fehlfunktion in der uberwachten Protokollschicht unterschieden werden. Dieser Sach- 
verhalt ist besonders bedeutend im Hinblick auf Bitfehler in Schicht 1, der physikalischen Schicht, weil diese - wenn 
auch mit geringer Wahrscheinlichkeit - in jedem einwandfrei arbeitenden Kommunikationssystem auftreten konnen und 
durfen. Solche Bitfehler erscheinen als Fehlfunktion der Schicht 1 und aller Schichten unterhalb der ersten Schicht, die 
die gesicherte Datenubertragung z. B. durch Wiederholung der gestorten PDUs gewahrleistet. Von wirklichen Fehlfunk- 
15 tionen miissen solche Falle durch ihre geringe Haufigkeit unterschieden werden. 

Funktionalitat 

Die wesentliche Aufgabe des Spuranalysators ist, Fehlerereignisse im Kommunikationsablauf der uberwachten 
20 Schichten zu erkennen und zu melden. Hier erfolgt zunachst eine - noch weitgehend informelle - Definition, was darun- 
ter zu verstehen sein soil: 

Definition 2 

25 Ein Fehlerereignis im beobachteten Kommunikationsverhalten einer Protokollinstanz ist der fruheste Zeitpunkt te ei- 
ner zur Zeit to begonnenen Beobachtung, fur den die Beobachtung im Zeitraum [t 0 ; t e ] nicht in der Menge der vom zu- 
grundeliegenden Protokoll zugelassenen Ereignisfolgen enthalten ist. 

Aus der Definition folgt, daB es pro Beginn einer Beobachtung nur ein Fehlerereignis geben kann. Nachdem ein Feh- 
lerereignis erkannt worden ist, muB also ein neuer - spaterer Startzeitpunkt gewahit werden, der allerdings nicht unbe- 

30 dingt nach dem Fehlerzeitpunkt liegen muB, Diese Konsequenz eines neuen Analysebeginns ist zweckmaBig, weil es 
nach dem Erkennen eines ProtokollverstoBes keinerlei Anhaltspunkt gibt, welches weitere Protokoilverhalten korrekt 
oder nicht korrekt ware. Figur A.6 gibt den Zusammenhang zwischen Beobachtungen und Fehlerereignissen nach Defi- 
nition 2 beispielhaft wieder. 

Ein konkreter Fehler innerhalb eines Kommunikations systems, egal welcher der in der Einleitung genannten Arten, 
35 fuhrt im Regelfall zu immer wiederkehrenden Fehlerereignissen, je langer die Kommunikation beobachtet wird. Eine 
groBe ZahL von gemeldeten Fehlerereignissen ist fiir den Benutzer des Analysators aber nicht hilfreich, weil.er nach dem 
konkreten yerursachenden Fehler sucht, der beseitigt werden soli, und nicht nach den einzelnen Fehlerereignissen. Es be- 
steht also die zusatzliche Aufgabe, erkannte Fehlerereignisse so zu klassifizieren, daB jede Klasse von Fehlerereignissen 
auf denselben konkreten Fehler im System zuriickzufuhren ist. Die Klassifikation kann nur danach erfolgen, welche Feh- 
40 lerereignisse sich so ahnlich sind, daB sie - vermutlich - vom selben Fehler verursacht wurden. Ein unmittelbarer Riick- 
schluB auf die verursachenden Fehler konnte nur erfolgen, wenn der Analysator uber ein Modell der Systemimplemen- 
tierung verfiigt, das eine Verfeinerung der Protokollspezifikation darstellt. Ein solcher Ansatz wird in dieser Arbeit nicht 
verfolgt, und zwar aus folgenden Grunden: 

45 - Ein formales Implementierungsmodeli ware erheblich komplizierter als die Protokollspezifikation und sehr viel 

schwieriger zu erstellen bzw. zu beschaffen. 

- Ein formales Implementierungsmodeli ware nur fiir einzelne Zielsysteme verwendbar, so daB dem erhohten Auf- 
wand ein verringerter Nutzen hinsichtlich der Zahl der Anwendungsfalle gegenubersteht. 

50 Eine bereits erwahnte Eigenschaft vieler Protokollstandards ist die, daB der Standard Parameter und Optionen vor- 
sieht, die erst bei einer konkreten Implementierung oder Anwendung des Protokolls festgelegt werden miissen. Die je- 
weils gewahlten Festlegungen sind beispielsweise im protocol implementation and conformance Statement (PICS, 
[IS091]) aufgefuhrt. Eine sinnvolle Zusatzfunktion fiir den Spuranalysator besteht daher darin, diese Parameter, sofern 
sie dem Anwender nicht bekannt sind, aus der Beobachtung zu ermitteln bzw. zu schatzen. Man mufi dabei beachten, daB 

55 eirie solche Ermittlung keinen vollwertigen Ersatz darstellen kann fiir die Kenntnis der PICS-Parameter, weil.erstere im 
Ist-Verhalten stattfindet und letztere das Soll-Verhalten charakterisieren. 

Obwohl einzelne Fehlerereignisse nach den bisherigen Erkenntnissen keinen RiickschluB auf verursachende Fehler er- 
lauben, lassen sich dennoch weitere Informationen aus der Haufigkeit von Fehlem und Fehlersituationen im Verlauf der 
Beobachtung gewinnen. So ist eine Klassifikation nach transienten, permanenten und intermittierenden Fehler moglich: 

60 Transiente Fehler treten nur einmalig auf. Spater beobachtet man in der gleichen Kommunikationssituation das kor- 
rekte Verhalten. 

Permanente Fehler fuhren wiederholt zu Fehlerereignissen, und zwar jedesmal, wenn die Kommunikationssituation 
auftritt, in der sich der verursachende Fehler des Systems auswirkt. 

Intermittierende Fehler treten zwar wiederholt, aber nicht immer in der entsprechenden Kommunikationssituation auf. 
65 Um diese Unterscheidung zu automatisieren, soli der Spuranalysator eine Statistik iiber Fehlerereignisse und Fehler- 
situationen fuhren und eine Fehlerquote ermitteln. Die Fehierquote q c einer Fehlerereignisklasse c ist der Quotient 

q c = ec/s c 
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aus der Anzahi der Fehlerereignisse e c dieser Klasse und der absoluten Haufigkeit s c der zugehorigen Kommunikations- 
situation. Neben der schon besprochenen Klassifikadon der Fehlerereignisse muB dazu auBerdem eine Klassifikation der 
Kommunikationssituationen eingefuhrt werden. Die genauen Kriterien hierzu sind in Kapitel 3 zu finden. 

SchlieBlich soil die Fehlerquote in ihrem zeitlichen Verlauf korreliert werden mit der beobachteten Kommunikations- 5 
last. Dies ist ein einfaches Kriterium, um den Spezialfall lastabhangiger Fehlerklassen heuristisch zu identifizieren: Je 
hoher der ermittelte Korrelationskoeffizient, desto wahrscheinlicher handelt es sich um einen lastabhangigen Fehler. 

Die folgende Liste faBt die in diesem Abschnitt erlauterten Funktionsmerkmale des Spuranalysators auf einen Biick 
zusammen: 

10 

1. Fehlerereignisse erkennen 

2. Klassen ahnlicher Fehlerereignisse ermitteln 

3. PICS-Parameter schatzen 

4. Fehlerquoten aus dem Auftretensmuster im Zeitverlauf berechnen 

5. Lastabhangige Fehler an der Lastkorrelation erkennen !5 



Besondere Anforderungen 

Dieser Abschnitt prazisiert die Aufgabenstellung, indem besondere Anforderungen definiert werden, die die Losung 20 
erfullen soli. An diesen Anforderungen orientieren sich die spateren Entwurfsentscheidungen wesentlich. 

Der Losungsansatz soU protokollunabhangig sein, damit dieselbe Problemstellung nicht fur jedes Protokoll neu bear- 
beitet werden muB, was aufwendig und fehlertrachtig ware. Es sollen existierende formaie Spezifikationsmethoden ver- 
wendbar sein, um das korrekte Kommunikationsverhalten fur den Anaiysator zu modellieren. 

Die Spuranalyse soil moglichst in Echtzeit moglich sein. Diese Fahigkeit hangt naturlich stark mit der Rechenleistung . 25 
des Systems zusammen, auf dem der Analysealgorithmus jeweils implementiert ist, und auch von der Last auf der beob- 
achteten Kommunikationsstrecke, Dennoch lassen sich aus dem Wunsch nach Echtzeiteinsatz einige Minimalforderun- 
gen ableiten: 

- Der Speicheraufwand des Verfahrens sollte im Mittel nicht von der Beobachtungsdauer abhangen. 30 

- Der Zeitaufwand des Verfahrens sollte hochstens linear von der Beobachtungsdauer abhangen, die Rechenlast 
also konstant sein. 

- Der PDU-Durchsatz des Verfahrens sollte auf zeitgemaBer Hardware von der GroBenordnung her einen Echtzeit- 
einsatz in praktisch relevanten Fallen moglich erscheinen lassen. 

Die ersten beiden Forderungen spiegeln wieder, daB die Ressourcen des Analysators keine Obergrenze fur die Beob- 
achtungsdauer setzen sollen. Denn Echtzeitbetrieb ist vor allem bei langen Beobachtungszeiten interessant, fiir kurze Be- 
obachtungen laBt sich die Spur auch auf zeichnen und anschlieBend "offline" analysieren. Das entwickelte Verfahren soil 
sich technisch sowohl fur den Betrieb "online", d. h. mit wahrend der Analyse eintreffenden Nachrichten, als auch "of- 
fline", d. h. anhand einer als Datei auf Massenspeicher vorliegenden Spur, eignen. 40 

Die Analyse des Protokoliverhaitens soli unbedingt auch die Einhaltung vom Protokoll geforderter Zeitbedingungen 
priifen. Das ist wichtig, weil in praktisch relevanten Protokollen Zeituberschreitungen eine wichtige Rolle spielen als 
Ausloser fiir bestimmte Protokollprozeduren. Nicht eingehaltene oder unter den Kommunikationspartnern inkompatibel 
eingestellte Zeitfenster sind daruber hinaus eine wahrscheinliche und in der Praxis haufig anzutreffende Fehierursache. 

Die vom Anaiysator vorgenommene Zeituberprufung muB Toleranzintervalle zulassen, da beobachtete Zeiten infolge 45 
von Signallaufzeit, Nachrichtendauer, Pufferverzogerung und MeBungenauigkeiten auch bei korrektem Verhalten der 
IUT von den in der Spezifikation geforderten Zeitbedingungen abweichen konnen. 

Die entscheidende Voraussetzung fur die praktische Brauchbarkeit eines Spuranalysators ist, daB dieser seine Analyse 
bei jedem beliebigem Zustand der Kommunikation beginnen kann. Denn es ist praktisch unerwurischt, daB man auf be- 
stimmte Synchronisationsbedingungen im Kommunikations ablauf warten muB, die moglicherweise - wenn uberhaupt - 50 
sehr selten auf treten oder aber von auBen veranlaBt werden mussen, was im Widerspruch zum Konzept der passiven Be- 
obachtung stunde. Der Fall eines unbekannten Protokollzustands tritt auBerdem nach jedem erkannten ProtokollverstoB 
der IUT auf, denn jede Annahme iiber deren Folgezustand ware Spekulation. Dies spiegelt sich auch wieder in der Defi- 
nition 2 eines Fehlerereignisses. Ezust und Bochmann schlagen in [EvB95] als eine mogliche Erweiterung ihres Verfah- 
rens vor, alien Zustandsvariablen im Priifautomaten des Analysators ein Attribut "undefiniert" beizufiigen. Der im nach- 55 
sten Kapitel dargestellte Ansatz dieser Arbeit ist ailgemeiner, er enthalt die Losung mit dem Attribut "undefiniert" als ei- 
nen Spezialfall. 

Eine Schwierigkeit bei der passiven Spuranalyse entsteht dadurch, daB die auf einem bidirektionaien Kommunikati- 
onskanal gemachten Beobachtungen nicht als vollstandig sequentiell angesehen werden konnen. Figur A.7 steiit den Ba- 
sisfall dar, der zu einer mehrdeutigen Sequentialisierung der beobachteten Aktionen fiihrt: Der Anaiysator beobachtet 60 
erst eine Eingabe a zur IUT und kurze Zeit spater eine Ausgabe b von ihr. Diese beiden PDUs konnen, mussen aber nicht, 
sich zwischen dem Beobachtungspunktund der IUT gekreuzt haben. Das heiBt, die beiden entsprechenden Aktionsfol- 
gen (a, p) und (P*,- a*) waren mogliche Sequentialisierurigen aus Sicht der IUT, die die Beobachtung erklaren. 

In [EvB95] wird das Sequentialisierungsproblem ebenfalls erwahnt und durch eine zusatzliche Option gelost, die Se- 
quenziiberpriifung zwischen bestimmten Nachrichtenwartesch langen der Spezifikation zu unterdriicken. Im hier vorge- 65 
stellten Ansatz, der nicht nur die Reihenfolge, sondem auch Zeiten beriicksichtigt, sollte eine genauere Prufung erfolgen: 
Wenn und nur wenn das Zeitintervall At in Figur A.7 unter einer festgelegten oberen Schranke liegt, muB die Aktions- 
folge mit Nachrichtenkreuzung als Alternative in Betracht gezogen werden. 
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Das Analyseverfahren muB sich fur nichtdeterministisch speziflzierte Protokolle eignen. Dies ist zum einen erforder- 
lich, well viele Protokolle von vomherein nichtdeterministisch spezifiziert sind. Aber selbst im Falte eines deterrninisti- 
schen Zielprotokolls wird das Protokollverhalten de facto nichtdeterministisch, sobald - wie oben beschrieben - die iiber 
die SAPs ausgetauschten Primitiven sich der Beobachtung entziehen, der IUT Zustand bei Analysebeginn unbekannt ist 
5 und mehrdeutige Sequentiaiisierungen auftreten. 

2.2,2 Protokoil-Lemen 

Dieser Abschnitt prazisiert die Aufgabe, die Regeln eines Kommunikationsprotokolls aus einem fehlerfreien Beispiel- 
10 verkehr maschinell zu erlemen. Dazu wird im folgenden das Einsatzszenario fur einen lernenden Spuranalysator be- 
schrieben. AnschlieBend werden der Lernvorgang genauer untersucht und strukturiert und vereinfachende Annahmen 
uber die Lemaufgabe eingefuhrt. 

Einsatzszenario 

15 

Das physische Einsatzszenario eines lernenden Spuranalysators entspricht dem in Figur A.4 wiedergegebenen fur das 
nichtlernende Verfahren: Der Analysator beobachtet den Kommunikations verkehr uber die Verbindung zwischen Sy- 
stem A, der IUT, und seinem Partner B. Logisch teilt sich der Einsatz eines lernenden Spuranalysators in zwei Phasen, 
eine Lernphase und eine Prufphase, 
20 In der Lernphase liest der Lemalgorithmus die PDUs der Schicht n, ohne in die Kommunikation einzugreifen, und lei- 
tet aus dieser Beobachtung Regeln ab, die das korrekte Protokollverhalten der IUT beschreiben (siehe Figur A.8). Dazu 
muB vorausgesetzt werden, daB sich sowohl die IUT ais auch alle fur den Transport der Schicht-n-PDUs verantwortli- 
chen tieferen Protokollschichten tatsachlich protokollkonform verhalten, wie in Abschnitt 2.1.4 ausgefiihrt; dies deutet 
das Hakchen in der Figur an. 

25 Man beachte, daB es nicht erforderlich ist, daB sich die Partnerinstanz B der IUT korrekt verhalt. Wenn sie das tut, tre- 
ten nie Fehlerprozeduren im Verhalten von A auf, so daB diese natiirlich auch nicht gelernt werden konnen. Dann wiirde 
in der Prufphase jeder Fehler von B prinzipiell einen VerstoB gegen die erlemten Regeln darstellen. Um also die auftre- 
tenden Fehler genauso wie beim nicht lernenden Verfahren sicher einem Kommunikationspartner zuordnen zu konnen, 
ware es sogar wunschenwert, wenn B in der Lernphase auch Verhaltensfehler zeigte. Dies ist jedoch praktisch zu schwer 

30 erfullbar, um grundsatzlich gefordert zu werden. 

In der spateren Prufphase kann dann potentiell fehlerbehafteter Kommunikationsverkehr anhand der gelemten Regeln 
uberpruft werden, so daB diese Phase im wesentlichen dem Einsatz des nicht lernenden Analysators nach Abschnitt 2.2.1 
entspricht. Allerdings soli die Prufphase des lernenden Analysators auf eine Protokollschicht, Schicht n, beschrankt sein 
(siehe Figur A. 9). 

35 

Annahmen zum Lernvorgang 

In diesem Abschnitt wird die Aufgabe des Protokollregellernens durch einige einschrankende Annahmen vereinfacht, 
um eine Losung im Rahmen dieser Arbeit zu ermoglichen, und in zwei Teilaufgaben zerlegt. 
40 Die ideale Lemaufgabe im Rahmen der bisherigen Ausfiihrungen wiirde mit PDUs als Eingabe auskommen, die je- 
weils als eine Bitkette kodiert und daruber hinaus nur noch mit einem Zeitstempel versehen sind. Die Semantik einer 
PDU ergibt sich aus den verschiedenen Teilen dieser Bitkette, den Datenfeldem der PDU. Folgendes sind die wesentli- 
chen vorkomrhenden Feldarten: 

45 - Typinformationen geben den Typ der PDU dder manchmal auch nur eines Teils von ihr an. Typinformationen ent- 

scheiden damit uber die Semantik weiterer Teile der PDU. 

- Langeninformationen geben an, wie viele Bits an irgendeiner Stelle der PDU ein bestimmtes Feld bilden. Solche 
Informationen haben keinerlei Semantik fur das Protokoll, mussen aber ausgewertet werden, um die PDU richtig 
dekodieren zu konnen. 

50 - Daten sind einfache numerische, textuelle oder andere Informationen, die im Rahmen des Protokolls eine be- 

stimmte Semantik haben, deren konkreter Wert jedoch keine Bedeutung fur die Dekodierung anderer Teile der PDU 
hat. 

- Nutzdaten sind die Inhalte der Felder bestimmter PDUs, die ohne Semantik fur das betrachtete Protokoll im Auf- 
trag der daruberliegenden Protokollschicht n + 1 ubertragen werden. Diese mussen bei der Analyse des Verhaltens 

55 der Schicht n vollstandig ignoriert werden. 

Diese Feldarten erlauben einen derart kornplizierten PDU-Aufbau, daB es unmoglich erscheint, die Grenzen, Arten 
und Bedeutungen der einzelnen Felder vollstandig aus den Bitketten der PDUs zu erlernen. Insbesondere die Trennung 
zwischen Nutzdaten und protokollrelevanten Informationen kann gar nicht gelingen, weil die Nutzdaten einem hoheren 
60 Protokoll gehorchen, so daB der Lerner zwangslaufig alle Protokollschichten ab n aufwarts zu lernen versuchen wiirde. 
Damit ware eine Mehrschichtenspezifikation zu rekonstruieren, wie sie - 
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TabeUe 2.1 

PDU Setup aus dem Protokoll Q.2931 [IT94b] als Beispiel fiir eine komplexe kontextabhangige PDU-Syntax 



Inforrnationselement 


Typ 


Lange [Oktette] 


Protokolldiskrimmator 


Pflicht 


1 


Call reference 


Pflicht 


4 


Message type 


Pflicht 


2 


Message length 


Pflicht 


2 


AAL parameters 


optional 


4-21 


ATM user traffic descriptor 


Pflicht 


12-20 


Broadband bearer capability 


Pflicht . 


6-7 


Broadband high layer information 


optional 


4-13 


Broadband repeat indicator 


optional 


4-5 


Broadband low layer information 


optional 


4-17 


Called party number 


optional 


> 4 


Called party subadress 


optional 


4-25 


Calling party number 


optional 


> 4. 


Calling party subadress 


optional 


. 4-25 


Connection identifier 


optional 


4-9 


End-to-end transit delay 


optional 


4-10 


Notification indicator 


optional 


>4 


OAM traffic descnptor 


optional 


4-6 


QOS parameter 


Pflicht 


6 


Broadband sending complete 


optional 


4-5 


Transit network selection 


optional 


> 4 
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wegen der Komplexitat und mangelnden Handhabbarkeit - im Protokoll-Engineering gerade nicht eingesetzt wird. 

Tabelle 2.1 illustriert die mbgliche Komplexitat des PDU-Aufbaus beispielhafl anhand der Infonnationselemente, die 
in einer SETUP-PDU des Protokolls Q.2931 [IT94b] enthalten sein konnen (optional) bzw. miisseri (Pflicht) und den Be-' 
reichen, in denen sich die Langen der einzelnen Informationselemente bewegen konnen. AuBerdem sind die einzelnen 
Elemente ebenfalls komplex strukturiert, und ihre Reihenfolge ist.weitgehend variabel. 40 

Es ist festzuhalten, daB das Erlernen von Protokollregeln auf Bitkettenebene ein wunschenswertes Femziel bleibt. In 
dieser Arbeit, die das Erlernen von Protokollregeln nach Wissen des Autors erstmalig untersucht, soli folgende Verein- 
fachung angenommen werden: 

Die Dekodierung der PDUs der untersuchten Protokollschicht wird vorausgesetzt. Die PDUs der Trainingsmenge sind 
gegeben als attributierte Symbole einer endlichen Symbolmenge L, wobei jedes Symbol einem PDU-Typ fiir eine Kom- 45 
munikationsrichtung entspricht. Durch die Uhterscheidung in ein- und ausgehende PDUs enthalt £ bei symmetrischen 
Protokollen also doppelt so viele Elemente, wie es PDU-Typen gibt. Zu jedem a e L existiert eine bekannte Attributie- 
rung mit k a " e. N numerischen Attributes Eine PDU hat also die Form 

a(xi;...;x ka ) 50 

mit a E E und x h . . ., x ka e N. 

Ferner wird der Regelerwerb nicht in Echtzeit gefordert, sondern wegen des hohen zu erwartenden Rechenaufwands 
im allgemeinen anhand einer in einer Datei abgelegten Spur durchgefuhrt. Die Priifphase dagegen soil, ahnlich wie fur 
die erste Teilaufgabe in Abschnitt 2.2.1 dargestellt, moglichst in Echtzeit erfolgen konnen, sofem Analysator-Hardware 55 
und Einsatzsituation nicht zu ungiinstig gewahlt sind. 

Der Lemvorgang wird in folgende zwei Lernphasen eingeteilt: 

1 . Erlernen des endlichen Automaten der PDU-Typen, also eines endlichen Automaten iiber dem Alphabet Z. Diese 
Aufgabe entspricht der Identifikation einer regularen Sprache aus positivem Text und ist nach [Gol67] nicht bere- 60 
chenbar (vgl. Abschnitt 2.1.4'). Figur A.10 veranschaulicht das Lernen der regularen PDU-TVpen-Sprache. 

2. Erlernen von Regeln, die gultige Kombinationen der PDU-Attributwerte innerhalb eines Fensters von w aufein- 
anderfolgenden Nachrichten beschreiben. Die FenstergroBe w ist ein Parameter des Lernverfahrens, der den Lern- 
aufwand und die Genauigkeit des Prufvorgangs entscheidend beeinfluBt. Infolge der festen Attributierung pro PDU- 
Typ ergibt sich fiir jede PDU-Typen-Folge u e Z w ebenfalls eine feste Attributierung aus der Aneinanderreihung 65 
der Attribute der einzelnen PDU-Typen aus u. Formal laBt sich ein Pradikat ok,, definieren, so daB 
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protokolikonform g. d. w. 

o/c u (x}; . . . ; Xfc uj ; . . . ; x™\ . . . ; x% Uw ) 

Figur A. 11 veranschaulicht das Lemen eines ok-Pradikats fur eine beispielhafte FenstergroBe von w = 3. Naturlich 
muB eine solche Attributregel fur jedes w-1\jpel von PDU-Typen gelernt werden, das innerhalb des in Phase 1 gelemten 
Automaten auftritt. 

Weil in beiden Phasen generalisierendes Lemen aus positiven Beispielen stattfindet, ist das Lernverfahren vollstandig 
heuristisch. Die Minimalanforderung an das Lernresultat ist, daB es die Trainingmenge als Gutfall akzeptiert. Trotzdern 
lassen sich weder eine zu starke Generalisierung, die Fehler in der Priifphase "ubersehen" konnte, noch eine zu schwache 
Generalisierung, die bestimmte nicht trainierte Gutfalle als Fehler einstufen wurde, mit Sicherheit ausschlieBen. 

Das fur den nichtlernenden Spuranalysator beschriebene Problem der Nachrichtenkreuzung besteht in gleicher Weise 
auch fur das Lernverfahren. Da fur letzteres keinerlei Information uber die intemen Aktionen der IUT vorliegt, muB das 
Lernverfahren die Falle mit Nachrichtenkreuzung als eigene Pfade im gelemten Automaten erfassen. 

Kapitel 3 

Spuranalyse 

In diesem Kapitel wird ein neues Verfahren zur Sparanalyse im Online-Betrieb gemaB den in Abschnitt 2.1.3 darge- 
stellten Anforderungen entwickelt. Das hier vorgestellte Verfahren wurde in [Mus97] erstmals veroffentlicht und griindet 
sich auf Vorarbeiten in (Mus94, Han95). Es tragt den Namen FollowSM (follow a state machine, Nachvollziehen eines 
Automaten). 

Das Kapitel beginnt mit einer theoretischen Fundierung der Sparanalyse einschlieBlich einer Untersuchung zur Bere- 
chenbarkeit. AnschlieBend wird das dem FollowSM- Verfahren zugrundeliegende vereinfachte Protokollmodell formal 
eingefuhrt und untersucht. Die algorithmische Umsetzung des Analyseverfahrens ist Thema des darauffolgenden Ab- 
schnitts. SchlieBlich wird beschrieben, wie FollowSM anhand von vorliegenden SDL-Spezifikationen eingesetzt werden 
kann. 

3.1 Theoretische Fundierung 

Dieser Abschnitt beschaftigt sich mit den theoretischen Grundlagen fur die zu erarbeitende Losung, namlich mit der 
Wahi des Spezifikationskalkuls, mit dessen Hilfe das Sollverhalten beschrieben wird, und der Frage, ob die gestellte Auf- 
gabe im allgemeinsten Fall ein berechenbares Problem darstellt. 

3.1.1 Wahl des Spezifikationskalkuls 

Charakteristisch fur den ersten Aufgabenteil ist, daB das "Wissen" urn das korrekte Protokollverhalten -kurz Sollver- 
halten - dem Analysator von auBen vorgegeben, gewissermaBen eingebaut ist. In Kapitel 2 wurden als mogliche theore- 
tische Konzepte hierzu einerseits die ProzeB algebra, andererseits die erweiterten endlichen Automaten vbrgestellt. 

Aus folgenden Griinden wird fur diese Arbeit dem Automatenkonzept der Vorzug eingeraumt: 

1. Im Bereich der praktischen Protokolistandardisierung herrscht die automatenbasierte Spezifikationsprache SDL 
der ITU vor. SDL-Spezifikationen ubernehmen in aktuellen ITU-Standards (z. B. [IT94a]) die RoUe der ausschlag- 
gebenden Referenz. 

2. Automatenbasierte Spezifikationen eriauben eine einfachere und fur menschliche Benutzer leichter verstandli- 
. che Representation von Kommunikationszustanden. In der ProzeBalgebra wird nichtterminierendes Protokollver- 
halten durch Verhaltensrekursion modelliert, so daB ein Kommunikationszu stand durch Positionen innerhalb der 
aktiven ProzeB terme und Informationen uber die aktuellen Rekursionsebenen und die auf den einzelnen Ebenen ge- 
bildeten Variablenbindungen darzustellen ware. Im Automatenkalkul genugen dagegen pro Automat (EFSM) der 
Spezifikation der Basiszustand und die Belegung der Zustandsvariablen, eventuell noch die Belegung der Warte- 
schlangen an den Ein- und Ausgangen der einzelnen EFSMs. Diese Zustandsnotation ist intuitiver und ubersichtli- 
cher. 

3. In der ProzeBalgebra wird im Grundsatz von der Unterscheidung zwischen Eingaben und Ausgaben abstrahiert, 
stattdessen betrachtet man Aktionen mit einer Anzahl von Teilnehmem. AuBerdem fiihrt das Paradigma der syn- 
chronen Kommunikation dazu, daB der Empf anger einer Nachricht durch seine vorhandene oder nicht vorhandene 
Bereitschaft zur Kommunikation prinzipiell immer einen EinftuB auf den Sender ausiibt, was in der physikalischen 
Natur realer Kommunikationssysteme keine Entsprechung hat. 

Die Auswirkungen von Punkt 3 sollen kurz anhand eines Beispiels verdeutlicht werden. Figur A. 12 zeigt links ein 
Stuck einer Protokollspezifikation als LTS, wie es im ProzeBalgebra-Kalkiil auftreten kann. Rechts ist eine zugehorige 
Beobachtung als verzweigungsfreies Verhalten aufgezeichhet. Die Aktion c in der Beobachtuhg vertragt sich nur mit 
dem rechten Zweig der Spezifikation, den die IUT - aufgrund der nicht synchronisierten t- Aktion an seinem Anfang - 
auf eigene Initiative nichtdeterministisch ausgewahlt haben muB. Die zweite beobachtete Aktion a widerspricht daher 
der Spezifikation. Dabei sind folgende zwei Falle zu unterscheiden: 
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1 . a ist eine Ausgabe der IUT. In diesem Fall liegt mit Sicherheit ein ProtokollverstoB der IUT vor. 

2. a ist eine Eingabe an die IUT. a hatte von der IUT verarbeitet werden konnen, wenn die entsprechende Nachricht 
vor der T-Aktion bei der IUT eingetroffen ware. Sofern c eine Ausgabe darstellt, die sich mit a zwischen dern Be- 
obachtungpunkt und der Partnerinstanz der IUT kreuzt, kann auch die Partnerinstanz nicht "wissen", daB a nun zur 
Blockierung fiihrt. 5 

Naturlich lassen sich solche Mehrdeutigkeiten durch Erweiterungen des Kalkiils oder besondere Gultigkeitsbedingun- 
gen fiir die Spezifikation, wie beispielsweise in [HT97] vorgefuhrt, durchaus beseitigen oder entscharfen. Dennoch er- 
scheint das asynchrone Kommunikationsparadigma des Automaten kalkiils besser geeignet, gerade mit Fehlersituationen 
in realen Kommunikationssystemen formal umzugehen. 20 

Daher wird das Automatenkonzept als formale Basis in dieser Arbeit gewahlt. Als Sprache fur die Vorgabe des Soll- 
verhaltens soli SDL verwendet werden, weil sie die in der Praxis verbreiteteste automatenbasierte Protokollspezifikati- 
onssprache ist. 

3.1.2 Berechenbarkeit 15 

In diesem Abschnitt wird gezeigt, daB bereits die Sparanalyse einer IUT, fur deren Spezifikation eine einzige EFSM 
dient, nicht berechenbar ist. Dies gilt darnit erst recht fur Spezifikationen im vollen Sprachumfang von SDL. 

Zunachst wird dazu die vereinfachte Sparanalyse definiert, deren Unberechenbarkeit zu zeigen ist. Fur den Beweis 
wird ein Spezialfall der vereinfachten Sparanalyse auf eine Turing-Maschine (TM) ubertragen und die von dieser berech- 20 
nete Funktion auf das Allgemeine Halteproblem reduziert, dessen Unberechenbarkeit hinlanglich bekannt ist (z B 
[Kai72]). 



Definition 3 



w v f 1 wenn 3i(m(i) = o) 
r(m ' o)= {o sonst 
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Vereinfachte Sparanalyse: Gegeben seien die EFSM-Spezifikation A einer Instanz, die iiber einen unbeobachteten Ka- 
nal s und einen beobachteten Kanal p kommuniziert, und ein beobachteter Kommunikationsablauf o uber p. Die verein- 
fachte Sparanalyse ermittelt, ob ein Kommunikationsablauf i uber s und eine speziBkationskonforme Transitionsfolge t* 
von A existieren, so daB o ein zulassiges Verhalten von A kennzeichnet. 

Figur A. 13 illustriert die gegebene Definition. 30 
Nun soil folgender Spezialfall betrachtet werden: Der Automat A startet in seinem Initialzu stand, erhalt dann eine 
vollstandige Eingabe i uber s und gibt eine resultierende Ausgabe o iiber p aus. A berechnet also eine Funktion f A : I* — * 
O*, wobei I das Eingabealphabet an s und O das Ausgabealphabet an p bezeichnen. Darnit laBt sich die vereinfachte 
Sparanalyse einer Beobachtung o leicht formalisieren als die Entscheidung der Formel 

y a {o) = 3ier(f A (i) = o) . 
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In dieser Umgebung kann nun jede Turing-Mas chine m als Automat A verwendet werden, beispielsweise, indem das 
Band der Turing-Maschine als eine Datenvariable der EFSM uber Zeichenketten modelliert wird und die Zustknde von m 
direkt als Zustknde von A verwendet werden. (Dies erfordert ein EFSM-Modell, das auch leere Ein- und Ausgaben zu- 40 
laBt, darnit die Berech nung selbst nicht beobachtet wird. Fiir EFSMs mit mehreren Kanalen ist diese Sichtweise natur- 
lich, da Transitionen hier ohnehin nur mit.Interaktionen auf einem Teil der Kanale verknupft sind.) Mit diesem Wissen 
laBt sich der betrachtete Spezialf aU der vereinfachten Sparanalyse wie fplgt als Funktion Y:NxN-^(0;l) beschreiben. 
Dabei muB die Beschreibung der beobachteten Instanz zum Funktionsargument werden: 
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wobei m die Godelnummer einer Turing-Maschine ist, die fiir alle Eingaben halt, und m(i) ist die Ausgabe der durch m 
kodierten Turing-Maschine bei Eingabe i. Uber die Furiktions werte von Y fiir Eingaben m, die fur gewisse i nicht halten, 50 
wird keine Aussage gemacht. Diese Einschrankung ist sinnvoll, weil m ja die Spezifikation der beobachteten Instanz re- 
prasentiert - sie wird als verklemmungsfrei vorausgesetzt. Ein Spuranalysealgorithmus konnte also den Instanzautoma- 
ten mit gewissen Eingaben "probeweise ausfuhren", ohne die eigene Termination zu gefahrden. Der folgende Beweis 
zeigt, daB ein Algorithmus fiir die vereinfachte Sparanalyse selbst unter dieser giinstigen Annahme nicht existiert 
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Theorem 1 

Es gibt keine berechenbare Funktion Y: N x N — {0; 1 }, die der gegebenen Beschreibung entspricht.. 

Beweis 60 

Angenommen, es gibt eine solche berechenbare Funktion Y, also eine Turing-Maschine, die sie berechnet. 

Es gibt bekanntlich ([Kai72]) eine universelle Turing-Maschine U, die die Godelnummer einer Turing-Maschine und 
eine Eingabe erwartet und die angegebene Maschine auf dieser Eingabe simuliert. Daraus laBt sich eine Turing-Maschine 
S konstruieren, bei der S(m, i, n) = 1 g. d. w. die TM mit Godelnummer m bei Eingabe i innerhaib von n Schritten termi- 65 
niert, sonst S(m, i, n) = 0. Dies ist z. B. moglich durch die'Erweiterung von U um einen Schrittzahler, der mit einem be- 
rechenbarkeitstheoretisch unerheblichen zweiten Band realisiert wird. 

Bezeichne nun S ra> i die Godelnummer der Turing-Maschine, bei der die Argumente m und i gegenuber S fixiert sind, 
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so daB S ra ,i(n) = S(m, i, n). Diese Godelnummer ist aus der Godelnummer von S, m und i berechenbar, weil die Godel- 
nummer einer TM, die ein festes m und i auf das Band schreibt, berechenbar ist und die Operation der Verkettung dieser 
TM mit S ebenfalls auf arithmetische Operationen zuruckfuhrbar ist. Man kann also eine Maschine H konstruieren, so 
daJ3: 

HM^YiS^l) 

H berechnet also erst die Godelnummer S m ,i, schreibt eine 1 als zweite Eingabe aufs Band und startet abschlieBend Y. 
H berechnet: 

10 Gibt es eine Eingabe n an S m> i, so daB 1 als Ausgabe erzeugt wird (nach Definition von Y)? 
Und damit: 

Gibt es eine Schrittzahl n, nach der die TYiring-Maschine mit Godelnummer m halt, wenn i eingegeben wird? 
Dies ist offenbar das Allgemeine Halteproblem, welches unberechenbar ist. Dieser Widerspruch macht die Annahme 
der Existenz von Y unhaltbar. 

15 Weil bereits der untersuchte Spezialfall der vereinfachten Sparanalyse nicht berechenbar ist, gilt diese Feststeliung 
auch fur aile allgemeineren Falle. 

3.2 Losungsansatz 

20 Nachdem im vorangegangenen Abschnitt gezeigt werden konnte, daB die Aufgabe der Sparanalyse - selbst ohne Ein- 
beziehung von Zeitbedingungen - nicht uneingeschrankt automatisierbar ist, fiihrt dieser Abschnitt ein reduziertes Pro- 
tokollmodell ein, das an die Anforderungen hinsichtlich Berechenbarkeit und Effizienz der Sparanalyse angepaBt ist und 
auf dem das FollowSM-Verf ahren basiert. Dieses Modell enthalt auch einen exakten Formalismus zur Beschreibung von 
Zeitbedingungen fur das Protokollverhalten. Der hier dargestellte Ansatz wurde bereits in [Mus97] publiziert. 

25 Die Konsequenzen, die sich aus der Aufgabenstellung fur dieses Protokollmodell ergeben, werden sich als so gravie- 
rend erweisen, daB ein direkte Ruckgriff auf eine geeignete Untermenge von SDL zur Beschreibung des Sollverhaltens 
verworfen werden muBte. Der stattdessen eingeschlagene Losungsweg besteht darin, 

1 . den in diesem Abschnitt eingefuhrte Hilfsformalismus zur formal exakten Beschreibung eines Sollverhaltens zur 
30 Verfugung zu stellen, und 

2. anschlieBend ein Werkzeug zu entwerfen, das SDL-Spezifikationen in diesen Hilfsformalismus uberfuhrt. Dieser 
Schritt ist wegen der gezeigten Unberechenbarkeit mit einem Verlust an Exaktheit verbunden und erfordert mogli- 
cherweise manuelle Hilfestellungen, da Entwurfentscheidungen und Kompromisse festzulegen sind. 

35 Der zweite Schritt ist Gegenstand eines spateren Abschnitts in diesem Kapitel. 

3.2.1 Protokollmodellierung und einfache Spuranalyse 

Die einfache Spuranalyse im Sinne des Folio wSM-Verfahrens basiert auf einer Protokollspeziflkation in Form eines 
40 einzelnen erweiterten cndlichen Automaten (EFSM). Dieses Modell wird im folgenden als beobachtbarer zeitbehafteter 
erweiterter endlicher Automat (observable timed extended finite state machine, OTEFSM) bezeichnet. Die Beschran- 
kung auf einen einzelnen Automaten stellt im Hinblick auf. die Modellierungsmachtigkeit keine prinzipielle Einschran- 
kung dar, da erweiterte endiiche Automaten - wie schon in Abschnitt 3.1.2 angesprochen - Turing-Maschinen simulieren 
konnen, sofern Zustandsvariablen mit unendlichem Wertebereich verwendbar si rid. 

45 

Beobachtbare zeitbehaftete EFSM 

Ein beobachtbarer zeitbehafteter erweiterter endlicher Automat (OTEFSM) M ist ein Quadrupel M = (Q, T, £, A, d) 
mit folgenden Eigenschaften: 

- Q ist eine Menge von einfachen Zustanden, die denjenigen Anteil der Zustandsinformation der Protokollma- 
schine beschreiben, der nicht zeitbezogen ist. Q darf unendlich sein. 

- T ist eine endiiche und moglicherweise leere Menge von Zeitgebernamen. 

- L ist eine moghcherweise unendliche Menge von Ein- oder Ausgabesymbolen. 

55 - A ist eine endiiche Menge von Transitionen (Zustandsiibergangen). Diese Transitionen sind weiter strukturiert, 

wie weiter unten erlautert wird. 

- d e N ist die maximale Ausgabeverzogerung, diejenige Zeitspanne, die hochstens verstreichen kanri, bis eine 
von einer Transition erzeugte Ausgabe tatsachlich sichtbar wird (vgl. Sequentialisierungsproblem in Abschnitt 
2.2.1). 

60 

Wie das letzte Element andeutet, wird die Zeit im OTEFSM-Modell als naturliche Zahl reprasentiert. Diese Entschei- 
dung ist allerdings willkurlich, benotigt wird nur die totale Ordnung, nicht die Abzahlbarkeit der Zeitpunkte. 

Im folgenden wird Indizierung mit Namen benutzt, um Komponentenbeziehungen klarzustellen, wo immer das erfor- 
derlich ist. Beispielweise bezeichnet Qm die Zustandsraumkomponente der OTEFSM M. Indizierung mit naturltchen 
65 Zahlen kommt daruber hinaus zum Einsatz, um Projektion auszudriicken, z. B. in p 2 = 4 fur p = (3, 4). 

Ausgehend von den einfachen Zustanden Q und Zeitgebernamen T erhalt man die Menge der vollstandigen Zustande 
S der OTEFSM formal als 
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mitElementen (q,x) e S. Dabei bezeichnetN„ die Menge der naturlichen Zahlen, erweitert urn einen Wert "unendlich" 
Die prakUsche Bedeutung ist, daB ein vollstandiger Zustand (q, x) aus einem einfachen Zustand q, einer Variablenbele- S 
gung und emer Zuordnung von Zeitintervallen aus NL zu den Zeitgebemamen, einer Zeitgeberbelegung, besteht. Die 
T^vT^ g absoluten Zeitraum an, innerhalb dessen der jeweilige Zeitgeber ablaufen wird. Damii lassen 

sich Nichtdeterminismus und MeBungenauigkeiten im Zusammenhang mit zeitbedingtem Verhalten modellieren Das 
Paar (oo, oo) steht fur einen inaktiven Zeitgeber, der "nie" ablaufen wird 

Auf Zeitgeberzustanden x, x' 6T-> Ni bezeichnet < eine partielle Ordnung, die den IntervalleinschluB fur alle Zeit- 10 
geber reprasentiert: 

r<r' g.d.w. Vip eT ([t(,P) u t(tP) 2 ] C [t'^) u r'(^) 2 ]) ' 

SchlieBlich wird noch ein spezieller Wert 1 ?TUZ verwendet werden, der Nichtexistenz ausdriickt. In diesem Zu- is 
sammenhang werden die Abkiirzungen T 0 und Zq eingefiihrt: 

T 0 = f ru{i} 

So = 7 SU{1} 

Jede Transition 8 e A ist ein Quintupel 5 = (\|/, e, a, 6, n): 

- \|/ e T 0 bestimmt denjenigen Zeitgeber, der ablaufen muB, damit 8 zum Schalten aktiviert wird Im FaU Ml = I 
handelt es sich urn eine nicht zeitabharigige Transition. 

- e e P(Q x Z x Zq) U P(Q x { JJ x Zq) ist das Aktivierungspradikat fur die Transitinn B. e definiert sowohl die 
Zustandsbedingung, unter der 8 schalten kann oder muB, als auch ihr Ein-/Ausgabeverhalten Die erste Potenz- 
menge m der Vereinigung oben gilt fur Transitioned die durch Eingaben ausgeldst werden, wahrend eingabelose 
rransitionen von der zweiten abgedeckt werden. Im iibrigen diirfen ausschlieBlich solche eingabelosen Transitionen 
zeitabhangig sein. 

" •! ~t Q iSt dle Zustandsuberfu hrungsfunktion, die die Anderung des einfachen Zustandes der OTEFSM be- 
schreibt, die eintntt, sobald 8 schaltet. ~ , 

«rS J X^\ U } ( ,Z' ^ eine P^ 61 ^ Funkt i°n. die den Effekt von 8 auf den Zeitgeberzustand beschreibt. 
8(y) (a, b) bedeutet, daB der Zeitgeber V|/ beim Schalten von 8 gestartet wird und fruhestens nach a, spatestens nach 

rifeieren ^ ^ ^ S ° nderfa11 3 = b = °° wird ve ^ndet, um das Anhalten eines Zeitgebers zu spe- 35 

- n e N ist die Prioritat von 8. GroBere Zahlen sollen hier fur hohere Prioritaten stehen. 

Semantik 
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P ^? h f m di T, Strukt " r OTEFSM beschrieben wurde, erfolgt in diesem Abschnitt die Definition der Semantik des 
OTE?SM™S^^ ZUlSssige Beobachtun g e n ™d auf die - einfache - Sparanalyse gegenuber einer 

dntlTS f ^ ?!f rZU ^ ird FUnkU ° n ^ : A x N x S x Zo N 2 eingefiihrt, die eine Aktivierungsprioritat aus- - 45 
druckt. Y(5, t, s, i) ist die Aktivierungspnontat der Transition 8 zum Zeitpunkt t angesichts des vollstandigen OTEFSM- 
Zustands s und einer anstehenden Eingabe i, die von 8 zu verarbeiten ist; i = 1 , falls keineEingabe stattfindet Diese Ak- 
tivierungspnontat wird durch ein Paar von Zahlen ausgedriickt, weil sie sowohl von der Art der Transition dem Auto- 
matenzustand und der Zeit abhangt als auch von der angegebenen Transitionsprioritat tc 6 , und zwar in dieser Reihenfolge 
Die totale Ordnung auf dtesen zweistufigen Prioritaten ist daher gegeben durch 50 

(a, b) < (c, d) g. d. w. a < c V (a = c A b < d) 

Die Definition von ¥ unterscheidet zwischen folgenden, z. T. dynamisch bestimmten Transitionstypen: 

spontan V(6, t, s, i) = (1, 0) wenn fa = J_ a ir s = 0 A 3o e E 0 ((s, _L, o) e e s ) 
unmittelbar $>{8, i, s, i) = (3, ir s ) wenn fa = J_ a tt« > 0 A So € S 0 ((s, J_, o) G e 8 ) 
eingabeabhangig V(6, t, s, i) = (2, ir s ) wenn ^ = 1 A 3o e S 0 ((5, i, 6) e e s ) 
zeitabhangig t, s, i) = (l,ir s ) wenn fa £ ± A r,(^) l < t A 3o e E 0 ((s, ±, o) 6 e s ) 
inaktiv V{8, t, s, i) = (0, 0) sonst. es 

Eine weitere Funktion, <£>: A x N x S - {0; 1 }, markiert verspatete Transitionen 8, d. h. aktivierte zeitabhangige Tran- 
sitionen, deren Zeitgeber im Zustand s zur Zeit t bereits abgelaufen ist. Es gilt: 
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, P ' fl wennt/-* ^ -LAf > r s (^) 2 A3o€ E 0 ((s,±,o) 6 e s ) (2 .* 

*(*.M) = | 0 sonst * '/ 

5 Es folgt die Definition der lokalen Zustandsiibergangsrelation 

Diese beschreibt den Effekt des Schaltens einer Transition innerhalb eines festgelegten Zeitraums auf den vollstandi- 
10 gen OTEFSM-Zustand. 

((q,t),5,t 1 ,t 2 ,i,o,(q , ,T')) e X 

bedeutet: Zustand (q, T) wird uberfuhrt in Zustand (q\ x'), wenn die Transition 5 zu einem Zeitpunkt zwischen ti und t 2 
15 schaltet und dabei das Symbol i liest und das Symbol o ausgibt (wiederum i = 1 bzw. o = ]_ fur den Wegfall der Kom- 
munikation). Mit einer intuitiven Pfeilnotation lautet die Definition: 



35 



(q,r)^(q',r') g.dw. 

20 V*6[*i l t 2 ](*(tf,* > (g,r) l t)>.(P J 0)) A?' = a*((?,r) > i > o) 

( {ti + 6 6 (x) u t 2 + 9 6 {x) 2 ) wenn x £ dom(^) 
A VieT: t'(x) = I (oo, oo) wehn x = tp s A x £ dom(^) (3.2) 

25 \ r ( x ) sonst 

Der zweite Fall bei der Anderung des Zeitgeberzu stands modelliert, daB ein Zeitgeber automatisch deaktiviert wird, 
nachdem er eine Transition ausgelost hat. 

Nun kann die globale Zustandsiibergangsrelation formuliert werden, die X so erweitert, daB die durch Y festgelegte 
30 Priorisierung Beachtung findet. Ihre Funktionalitat ist: 

A* C s x N 2 x A x (Lo x N) 2 x S x N 2 

Hierbei steht 

(s, ti, t 2 , 5, i, o, to, s') e X* 



50 



fti r den Sachverhalt, daB ausgehend von Zustand s, der zu irgendeinem Zeitpunkt zwischen t x und t 2 betreten wurde, als 
nachster Schaltvorgang einer Transition das Schalten von 6 zu irgendeinem Zeitpunkt zwischen t'i und f 2 m Frage 
40 kommt mit dem resultierenden Folgezustand s\ wobei die Eingabe i mit ihrem Zeitstempel k gelesen und die Ausgabe o 
mit ihrem Zeitstempel t^ erzeugt werden. Wiederum, i = 1 bzw: o = 1 stehen fur keine beobachtbare Ein- bzw. Aus- 
gabe; in diesern Fall sind die Zeitstempel bedeutungslos. Mit der Abkiirzung P = ¥(S, f 2 , s, i) wird die Relation A* - in 
Pfeilnotation - definiert durch: 

<s. s ,t 1 ,t 2 -^— t s\t> l ,t> 2 g.d.w. s^%y 

{i,ti),(o,t 0 ) «>° 
A h < t 2 A ti < t\ <t' 2 

A 0^1=^4 < t 0 < t[ + d Aifl^ t[ = t' 2 - U 
A V<T eA((^,f 2) s,ij<P V (Vi- T^i A y{5',t' 2 ,s,i) < (2,0))) 

AWe[t u t' 2 [ (*(6\t*,s,±.)<(2,0) A $(5*,r,s)=0)) (3.3) 

55 Vom Standpunkt der Ausfiihrung einer OTEFSM-Spezifikation driickt dies alles aus, daB Transitionen entweder aus- 
gelost werden konnen durch ihre zustandsabhangige Aktivierungsbedingung allein (spontane und unriuttelbare Transi- 
tioned Oder durch die Ankunft einer Eingabe-PDU (eingabeabhangige Transitionen) oder durch den Ablauf ernes Zeit- 
gebers (zeitabhangige und verspatete Transitionen). Spontane Transitionen haben eine "Kannschalten"-Semantik, d. h, 
ihre Aktivierung erzwingt keinen Schaltvorgang. Unmittelb are Transitionen dagegen mussen schalten, sobald sie akti- 
60 viert sind und unterdriicken dann alle anderen Transitionstypen. Aktivierte eingabeabhangige Transidonen weisen auch 
eine "MuBschalten"-Semantik auf, konnen jedoch durch unmittelbare Transitionen zuriickgestellt werden. Zeitabhangige 
Transitionen sind ebenfalls als vom "MuB-schalten"-Typ einzustufen, wobei der tatsachliche Zeitgeberablaufzeitpunkt 
zufallig gezogen wird innerhalb des Ablauf Intervalls [t b t 2 ] des zugehorigen Zeitgebers. Wenn das Aktivierungspradikat 
einer solchen Transition wahr wird, nachdem ihr Zeitgeber bereits abgelaufen ist, so wird von einer verspateten Transi- 
tion gesprochen, die zwar fur den Zeitpunkt dieses Ereignisses keine anderen Transitionen iiberdeckt, jedoch vor alien 

Alternativen schalten muB. . . 

Vom Standpunkt der Spuranalyse ist das beschriebene Verhalten der zeitabhangigen Transitionen aquivalent zu den 
obigen Ausfuhrungen zu modellieren als eine "Kann-schalten"-Situation innerhalb des Zeitgeberablaufintervalls und 
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jl^j— x. y y j^y iuu /-v i 

eine ,, MuB-schalten ,, -Regel ab dessen Obergrenze t 2 , weil der tatsachliche Ablaufzeitpunkt im Rahmen der Analyse ja 
nicht von vornherein bekannt ist 

Zwischen aktivierten Transitionen gleichen Typs erfolgt die Priorisierung gernaB 71$. Sofern dennoch mehr als eine 
Transition aktiv bleibt, findet eine nichtdeterministische Auswahl statt. Der Schaltzeitpunkt einer eingabeabhangigen 
Transition wird irnmer mit dem Zeitstempel der zugehorigen Eingabe-PDU identifiziert. Ausgaben konnen dagegen bis 
zu ds Zeiteinheiten nach ihrer Erzeugung beobachtet werden, Ausgabezeitstempel stellen also keine festen Schattzeit- 
punkte dar. 

Eine Beobachtung ist genau dann eine zulassige Spur im Rahrnen des Protokolls, wenn ein Anfangszustand s° E. S 
existiert und eine Folge global zulassiger Transitionen der Form 

5 °, 0,0 : ^— + s\t[ r tl 6 - — ► . . . *- — ► 5 ',t<,4 

die genau die beobachteten Ein- und Ausgaben mit den korrekten Zeitstempeln verarbeitet bzw. erzeugt - _[ s wie iiblich 
ignoriert fiir den Fall eingabe- bzw. ausgabeloser Transitionen. " !5 

Die - einfache - Spuranalyse gegenuber einer OTEFSM-Speziftkation bedeutet die Entscheidung der Zulassigkeit ei- 
ner gegebenen Spur. 

Damit ist die Definition der Semantik des OTEFSM-Modelis abgeschlossen. 

Berechenbarkeit 20 

Die Definition der OTEFSM ist an zahlreichen Stellen gerade so zugeschnitten, daB die Spuranalyse gegen eine 
OTEFSM-Spezifikation efflzient berechenbar ist. Das folgende Lemma bringt die wichtigste dieser Eigenschaften zum 
Ausdruck. 
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Betrachte einen Zustandsubergang 

{q,r\h,t 2 6 ) (q' ,T'),t[,t' 2 

(l,t,),(0,«o) 

gemaB X* und einen vollstandigen OTEFSM-Zustand (q, -t), 1 1( t 2 mit Eintrittsintervall, so daB 
r >t Afo.ta] D [t u t 2 ). 
Dann gilt: 

a) Es existiert ein Schaltzeitintervall 

mit 

■ (g, *),«!, *2 ~ - > W,?)AA- , .45 

(Mi), (Mo) 

b) Fiir jede X*-Transition entsprechend a gilt T f < x\ 

50 

Beweis 
Teila 

Es wird gezeigt, daB a fiir 55 

[*U] = [«] 

erfullt ist. Nach (3.3) muB zunachst 

(Q,r)^(q\f) (3.4) 
erfullt sein. An der Definition von O erkennt man, daB 

f>r => ${5Mq>t)> 0 = *(M,(fl, r),<) 

V i, ( 9> f ), <) = (1 , 7r tf ) A *($ *, fo, r), i) = (0, 0)) (3.5) 
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und damit auf jeden Fall <&(5, t, (q, T), i) > 0(5, t, (q, x), i). Hieraus folgt die Bedingung 0(8, t, (q, T), i) > (0, 0) aus 
(3.2). q' hangt nicht von X ab, somit gilt (3.4). 

Die Bedingungen fur t u t 2 in (3.3) sind fur ti, t 2 auch erfullt wegen ti < ti < t 2 < t 2 . 

Nun zur Disjunktion in der vorletzten Zeile von (3.3): Mit 

P d M $(<j,t' 2) ( 9) f),i) 

gilt <E>(5*, t, (q, T), i) < P < P (vgl. (3.5)). Problematisch ist also einzig der Fall 

(9, r) f t) = (1, *«0 A *(*', t, (ff, t), i) = (0, 0). 



Dann ist aber fur y 5 * = \\fs wegen (3.2) stets <I>(5*, t, (q, T), i) = P und somit die linke Seite der Disjunktion gultig, fur 
Vh* * V|/ 6 ergibt sich 0(5*, t, (q, t), i) (1, rc 5 0 < ( 2 > 0). ^ 

Bleibt die letzte Zeile von (3.3) zu betrachten: Die Ungleichung links bleibt wegen (3.5) auch fur % erfullt. Aus <P(o*, 

15 t* (q,x)) = 0 folgt nach (3.1): 
t < t{1> 6 ) 2 < f (^j) 2 , 

also <£((5*, t*, (q 7 T)) = 0. Damit ist a gezeigt. ^ 
20 b ist eine direkte Folgerung aus der Berechnungsvorschrift fur die resultierenden Zeitgeberzustande i' und t' in (3.2): 
Wegen ij < ti A t 2 > t 2 folgt 

[*1 + 0 S {x) lt t2 + 0 6 (X) 2 ] 2 [tl + *2 + ff*(x) 2 ] 

25 und damit b. . . . 

Mit diesem Lemma laBt sich nun der entscheidende Satz dieses Abschnitts, namlich die Berechenbarkeit der emfachen 
Spuranalyse gegenuber einer OTEFSM-Spezifikation, beweisen. 
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Die einfache Spuranalyse gegenuber einer OTEFSM Spezifikation ist berechenbar, sofern der Ausgangszustand s be- 
kannt ist und die Spezifikation keine unendlich langen Transitionssequenzen ohne Ein- und Ausgaben erlaubt. 

Bemerkung 

Da beobachtete Ein-/Ausgabefolgen naturgemaB stets endiich sind, konnen die in der Spuranalyse betrachteten Zeiten 
t fur mogliche Schaltzeitpunkte von Transitionen stets anhand dem Ende t E der Beobachtungsdauer nach oben beschrankt 
werden, t < t E . Der folgende Beweis macht von dieser Schranke Gebrauch. 

40 Beweis 

Zu einer zulassigen Beobachtung (I, O) mit Beobachtungsende t E existiert eine erklarende Aktiorisfolge A gemaB 
(3.3). Es ist zu zeigen, daB diese Existenz algorithmisch entscheidbar ist. Es wird gezeigt, daB zu jedem solchen A eine 
eindeutig bestimmte normalisierte Aktionsfolge A n existiert, die (I, O) erklart, und daB die Menge aller zur Beobachtung 
45 (I, O) passenden norrnalisierten Aktionsfolgen endiich und berechenbar ist. Folglich ist die einfache Spuranalyse bere- 
chenbar durch die erschopfende Suche nach einer solchen norrnalisierten Aktionsfolge A n . 
Bei A gegeben, sei ferner 

(^)At°2—^—tW,r'),t[,t' 2 
so (i,ti)A°M 

einer der Zustandsubergange in A (vgl. (3.3)). Es gilt 

3i x ,i 2 eN (i l <i 2 <t B A 

l*x , = (J. { t* 1 ' t2 ^ | (9,^) , *? , *i (9' ^0 , *i , *2 } ) , (3-6) : 

60 in Worten: Zu jedem Zustandsubergang existiert ein groBtes umhullendes Schaltzeitintervall, das mit der zugehorigen 
Beobachtung und dem resultierenden einfachen Zustand q' vertraglich ist. Dies folgt daraus, daB in (3.3) 

. a) die fur t'i und t' 2 geltenden Schranken iiber die Intervallbedingung t\ < t' 2 hinaus nicht von der Wahl der jeweils 
anderen Zeit abhangen, 
65 b) auBer fi < t' 2 fiir t'i nur untere, fiir t' 2 nur obere Schranken existieren und 

c) alle Schranken nach b <-bzw. > -Bedingungen sind und damit abgeschlossene Intervaile bilden. 

Die Forderung (q, %) — (q\ T') in (3.3) erfullt a, b und c, weii ¥ monoton steigend in t ist und (3.2) daher hochstens 
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eine kleinste untere Schranke fiir t'i liefert. t\ kommt ansonsten nur noch im Zusammenhang mit den unteren Schranken 
tj und to - d$ in (3.3) yor; auch dies ist mit a, b, c konforrn. t' 2 ist nach Voraussetzung durch tg sowie ggf. durch to.bzw. ti 
einschlieBlich nach oben beschrankt; der Fall t\ = t' 2 = tj fiir eingabeabhangige Transitionen liefert auch keine neue un- 
tere Schranke fiir t! 2 auBer tV Die letzte Zeile von (3.3) kann nur einschlieBliche obere Schranken liefem in Form der 
Sprungstellen von 3>, da <]> nicht in Abhangigkeit von t* den Wert (2, 0) erreichen oder uberschrei ten kann. In der vor- 5 
letzten Zeile von (3.3) liegt im Fall P > (2, 0) entsprechend keinerlei Zeitabhangigkeit vor. Fiir P < (2, 0) ist im Fall 
^ die Zeit t' 2 ebenfails unerheblich, weil jede andere Transition mit Prioritat von (2, 0) oder mehr das Schalten von 8 
ohnehin ausschlieBt. Fiir \|/ 0 * = \|/s schlieBlich sind die Sprungstellen von *F fiir die verglichenen Transitionen jeweils 
identisch, also spielt t' 2 fiir diese Zeile in keinem Fall eine Rolle. Dies beschlieBt den Nachweis von a, b, c und mithin von 
(3.6). . 10 

Das Intervall [t b tj ist aufgrund seiner Eigenschaften eindeutig bestimmt. Aufgrund von Lemma 1 kann eine norma- 
lisierte Aktionsfolge A n gebildet werden, indem diese groBten Schaltzeitintervalle nach (3.6) iterativ von links nach 
rechts fiir die ursprunglichen Intervalle in A substituiert werden, denn Lemma 1 garantiert die Zulassigkeit der Schalt- 
schritte trotz der erforderlichen " Verbreiterung" der Zeitgeberablaufintervalle in den T k . A n ist 

15 

1. an hand von A eindeutig bestimmt, 

2. stellt eine gultige A.*-Expansion dar und 

3. erklart ebenfails die Beobachtung (I, O). 

Da die Zwischenzustande (q k , T k ) durch die Funktionen 065 urid 85 deterrninistisch bestimmt sind (man beachte, daB die 20 
Ausgabe einer Transition 5 dagegen nicht, wie in [EvB95], deterrninistisch bestimmt zu sein braucht, weil eg nur eine Re- 
lation ist), T und die Zahl der beobachteten Symbole endlich sind und die Anzahl der Transitionen pro Symbol nach Vor- 
aussetzung endlich ist, sind alle normalisierten Aktionsfolgen, die (I, O) erklaren konnten, aufzahlbar mit Hilfe einer er- 
schopfenden Suche im Zustandsraum der OTEFSM. Eine erklarende Aktionsfolge A existiert genau dann, wenn eine er- 
klarende normalisierte Aktionsfolge A n gefunden wird. 25 

Dieses Ergebnis kann nun verglichen werden mit dem Unberechenbarkeitsresultat von Abschnitt 3.1.2. Die hier ein- 
gefiihrte Voraussetzung, daB keine unendlich langen unbeobachtbaren Transitionssequenzen auftreten, entspricht oben 
der Annahme, daB die Protokollmaschine A fiir jede beliebige Eingabe iiber den unbeobachteten Kanal halt. Zeiten wur- 
den in 3 . 1 .2 iiberhaupt nicht betrachtet. Der entscheidende Unterschied besteht folglich darin, daB die OTEFSM ohne un- 
beobachteten Eingabekanal modelliert ist, die Projektion der Protokollmaschine auf ihr beobachtetes Verhalten also Teil 30 
des Entwurfs der OTEFSM-Spezifikation des Sollverhaltens ist. Wenn diese Projektion eines Protokolls P nicht ohne . 
Verfalschung des Sollverhaltens erfolgen kann, ist die vollstandige und korrekte Sparanalyse von P daher nicht berechen- 
bar. 

3.2.2 Unsicherheitsbehaftete Sparanalyse 35 

Die wesendiche Schwierigkeit, die die einfache Sparanalyse eines OTEFSM-Modells noch nicht Lost, ist. die Ein- 
schrankung, daB der Anfangszustand so bekannt sein muB (vgl. Abschnitt 2.2.1). Der entscheidende Schritt, der das Fol- 
io wSM- An alysenerfahren von dieser Einschrankung befreit, besteht darin, bei der Sparanalyse unsicherheitsbehaftete 
Zustandsinformationen verarbeiten zu konnen. Dies bedeutet, daB der Suchalgorithmus im Zustandsraum so verallge- 40 
meinert wird, daB er nicht mehr auf einzelnen, Werten von Zustandvariablen operiert, sondem auf Teilrnengen ihrer Wer- 
tebereiche. Dieser Abschnitt erlautert die Erweiterung der einfachen Spuranalyse auf die Verarbeitung von Unsicherheit. 
Das resultierende Konzept heiBt unsicherheitsbehaftete Spuranalyse und stellt eine Verallgemeinerung der bisher behan- 
delten OTEFSM-Spuranalyse dar, die aus diesem Grund zur besseren Unterscheidung als einfache Spuranalyse bezeich- 
netwurde. 45 

tJberblick 

Fiir einen informellen tJberblick betrachte man einen Zustandsraum mit einem Variablenpaar 

50 

(a,b) e (0,1,..,255} 2 

Die Beschreibung des Anfangszustands lautet 

s° e (0. .255, 0. .255), 55 

eine genauere Aussage laBt sich ohne Kenntnis der Zustands- und Kommunikationshistorie nicht machen. 

Bei nun 8 eine Kandidaten-Transition aus einer OTEFSM-Spezifikation. Angenommen, ihr Aktivierungspradikat eg 
definiert eine zugehorige Ausgabenachricht a(x) mit x e {0, . ., 255} und fordert a < x, und die Zustandsuberfuhrungs- 
funktion as bewirkt a «— a + 10; b +- 17. Die nachste beobachtete Ausgabenachricht sei a(42). Kein Spuranalyseverfah- 60 
ren, das auf der direkten Ausfuhrung einer Referenzimplerhentierung basiert, kann rru t diesen Informationen irgend et- 
was anfangen. 

Das FollowSM- Verfahren dagegen kann mit der Unsicherheit umgehen, die das geschilderte Szenario laBt: Es instan- 
tiiert das Aktivierungspradikat anhand der konkreten Eingabenachricht zu a < 42, schrankt dann die vorliegende Be- 
schreibung des Zustands s° auf diejenige Teilmenge ein, fiir die 5 aktiviert ist, und wendet § schlieBlich spekulativ auf 65 
diese intermediare Zustandsbeschreibung an: 
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s° g (0..255.0..255) > s' € (0..41, 0..255) <"- a+t0;6 <- 17 ) s> e (10-51,17) 

s l ist - nachdem lediglich eine einzige Transition betrachtet wurde - bereits eine viel weniger unsichere Beschreibung 
des Protokollzustands, als es s° gewesen ist. Natiiriich miissen alle anderen Transitionen der Spezifikation ebenfails fiir 
eine spekulative Ausfiihrung in Betracht gezogen werden. Viele davon werden normalerweise in dem - nichts ausschlie- 
Benden - Zustand s 0 ebenfails aktiviert sein. Dies gilt insbesondere fiir samtliche Transitionen, die nicht mit Komrnuni- 
kationsprimitiven verknupft sind. 

Allerdings kann diese Form der unsicherheitsbehaf teten Zustandsexpansion nicht in einer vollstandigen und korrekten 
Art und Weise durchgefuhrt werden, d. h. mit dem Resultat "pass" genau dann, wenn eine zulassige Aktionsfolge zu ei- 
ner Beobachtung existiert. Dies liegt an Speicherplatz- und Zeitbeschrankungen im Zusammenhang mit der Tatsache, 
daB das Erfullbarkeitsproblem fiir allgemeine boolesche Ausdriicke (SAT-Problem) nicht effizient berechenbar ist 
[HS78]. Aus diesem Grund erfolgt eine approximative Losung des unsicherheitsbehafteten Spuranalyseproblems, wobei 
die folgenden beiden Bedingungen eingehalten werden: 

1. Keine zulassige Spur darf mit dem Urteil "fail" zuriickgewiesen werden. Das heiBt, der Algorithmus muB im 
Hinblick auf die Zuriickweisung von Spuren wenigstens korrekt sein, wenn auch nicht unbedingt vollstandig. 
• 2. Sobald die Zustandsraumsuche einen "sicheren" Zwischenzustand erreicht hat, soil der auf diesen Zeitpunkt fol- 
gende Teil der Analyse sowohl korrekt als auch vollstandig sein, d. h. alle spateren ProtokoliverstoBe mit Sicherheit 
finden. 

Formale Definition 

Fiir die formale beschreibung der unsicherheitsbehafteten Spuranalyse muB zunachst ein Darstellungraum R fiir den 
einf achen Zustandsraum Q der jeweiligen OTEFSM- Spezifikation ausgewahlt werden. Dieser Darstellungsraum ist die 
Menge der darstellbaren Teilmengen von Q. Er muB als Minimalanforderung erfullen, daB wenigstens der vollstandig 
unsichere Zustand auf der einen Seite und samtliche vollstandig sicheren Zustande auf der anderen Seite darstellbar sind: 

RCPQ\(D A QeRAVqS Q{{q} e R) (3.7) 

Die Menge der vollstandigen unsicherheitsbehafteten Zustandsbeschreibungen wird nun mit U bezeichnet: 

[/ = Rx(T^lt) 

Fiir die weitere Beschreibung soil die Hilfsfunktion st: U -> PS dazu dienen, urn zu einer gegebenen unsicherheitsbe- 
hafteten Zustandsbeschreibung u = (r, t) die Menge alter sicheren vollstandigen Zustande zu liefern, die u einschlieBt, 
namlich 

st(r,T)£[{(*T)|9€r}. 

Die unsicherheitsbehaftete Spuranalyse kann nun beschrieben werden als eine Erweiterung von X* zu einer Relation 
u*, bei der U anstelle von S eingesetzt wird. Sie hat die Signatur 

^C[/xN 2 xAx(E 0 xN) 2 .x[/xN 2 . 

Mit der Abkiirzung 



v 1 =' is 1 e S 3s e st(ti) : s, t u t 2 * ► s\ t[,t' 2 } 

[ (i,U),(o y t 0 ) ) 



fiir diejenigen Zustande, die von irgendeinem in u enthaltenen Zustand direkt erreichbar sind, lautet die Definition von u* 
in Pfeilnotation: 

u y t x , t 2 : ~ — -> u\ t\ , f' 2 g.d.w. 

ti<t 2 A ti < *i < *2 A «2 < t 0 < t[ + d A i jfe JL =» t' x = t' 2 = U 
A st('u') ~D v' A (| st(u)( = 1 st(u') = v) (3.8) 

In der unsicherheitsbehafteten Sparanalyse gilt eine Beobachtung genau dann als zulassige Spur des spezifizierten 
Protokolls, wenn eine nach (3.8) zulassige Folge von Zustandsubergangen der Form 

u o 0 0 u \ t \, t\ S - > - . • — - ► u 1 , t[,t l 2 



existiert, die genau die beobachteten Symbole mit den zutreffenden Zeitstempeln liest bzw. erzeugt, mit u° = (Q, T x ((0, 
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oo)}) als initiate Zustandsbeschreibung, die fur die vollstandige UngewiBheit iiber den tatsachlichen Zustand beim Be- 
obachtungsbeginn steht. 

Eigenschaften 

Die in Abschnitt 3.2.2 gestellten Anforderungen 1 und 2 an die unsicherheitsbehaftete Sparanalyse hinsichtlich \bll- 
standigkeit und Korrektheit werden nun in den Theoremen 3 und 4 gezeigt. Theorem 3 befaBt sich mit der in Anforde- 
rung 1 aiisgedruckten Korrektheitsbedingung. 

Theorem 3 

Jede Beobachtung, dieim Sinne der einfachen OTEFSM-Sparanalyse zulassig ist, ist auch zulassig im Sinne der un- 
sicherheitsbehafteten OTEFSM-Sparanalyse. . " 

Beweis 

Es genugt zu zeigen, dafi fiir jede ^-Expansion ein bei u° beginnender u*-Expansionspfad existiert, der zu der glei- 
chen Beobachtung fuhrt. Der Beweis erfolgt durch vollstandige Induktion uber die Lange der Aktionsfolge 

Als Induktionsannahme betrachte man einen Zustand s = (q, x) 6 S und eine diesen Zustand enthaltene unsicherheits- 
behaftete Zustandsbeschreibung u = (r, T u ) eU.es gilt also q e r A X < X a . Bei ferner 

(q,r),t u t 2 6 > (q',r'),t' x ,t' 2 . 

ein gemafi A,* (3.3) giiltiger Zustandsiibergang. 

Aus Lemma 1 folgt, daB ein T' u > T' existiert, fur das auch der Ubergang 

giiltig ist. Nach Definition von u* existiert folglich ein giiltiger unsicherheitsbehafteter Zustandsubergang 
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mit q' e r\ womit der Induktionsschritt abgeschlossen ist. 

Weil das festgelegte u° fiir die unsicherheitsbehaftete und jedes beliebige s° fur die einfache Sparanalyse die Indukti- 
onsannahme erfullen, folgt die Behauptung durch vollstandige Induktion. 

Theorem 4 driickt Anforderung 2 aus, die Vollstandigkeit der unsicherheitsbehafteten Sparanalyse nach einem siche- 
ren Zwischenzustand. Unter Hinzunahme von Anforderung 1 ist dies gleichbedeutend mit der Aquivalenz von einf acher 40 
und unsicherheitsbehafteter Sparanalyse fiir die Zeit nach dem sicheren Zwischenzustand. 



Theorem 4 



Einfache und unsicherheitsbehaftete Spuranalyse sind Equivalent, wenn eine unsicherheitsfreie Beschreibune des In- 45 
ltialzustands der Form s° = (q°, T°) bzwu° = ({q°), T°) gegeben ist. 

Beweis 

Wie ein Vergleich der Definitionen von X* und u* zeigt, genugt es nachzu weisen, daB sichere Zustandsbeschreibungen 50 
von u* stets wieder in sichere Zustandsbeschreibungen expandiert werden. Formal ausgedriickt ist zu zeigen daB Iv'l = 1 
immer gilt, wenn lst(u)l = 1 . In diesem Fall sind u* und X* offensichtlich Equivalent. 

Iv'l = 1 gilt stets im Falle sicherer Ausgangszustande, weil der resultierende Zustand s eines Expansions schrittes durch 
ct 6 , (t> 6 und X eindeutig bestimmt ist, sofem die schaitende Transitinn 5, das Schaltzeitintervall und die beobachteten In- 
ter aktionen feststehen. 55 

AbschlieBend soil noch die Berechenbarkeit der unsicherheitsbehafteten Spuranalyse gezeigt werden. 

Theorem 5 

Die unsicherheitsbehaftete Spuranalyse gegeniiber einer OTEFSM-Spezifikation ist berechenbar, sofem die Spezifika- 60 
tion keine unendhch langen Transitionssequenzen ohne Ein- und Ausgaben erlaubt. 

Beweisskizze 

Dieser Beweis lauft sehr ahnlich wie derjenige des Theorems 2. Hier wird eine normalisierte Aktionsfolge gebildet, in- 65 
dem alle einfachen Zustande r in den Zwischenschritten auf 
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festgelegt und wiedemm iterativ von links nach rechts die maximalen Schaltzeitintervalle substituiert werden, wie sie 
sich aus den Zeitgeberzustanden x\ den Eintrittsintervallen [t\, £| und den Zeitstempeln tf, t* der ausgetauschten Sym- 
bole gemaB (3 3) ergeben. Nach Definition von u* ist die so erhaltene Folge A n zulassig. Sie ist eindeutig bestimmt, well 
insbesondere alle vorkommenden Zeitgeberzustande eindeutig bestimmt sind. Sie erklart gieichfalls die Beobachtung 
wegen Teil b von Lemma 1. Also ist die Berechnung der unsicherheitsbehafteten Spuranalyse moglich durch die er- 
schopfende Suche nach einer solchen normalisierten Aktionsfolge, die die Beobachtung erklart. 

3 .3 Algorithmische Umsetzung 

Dieser Abschnitt beschreibt, wie die zuvor definierte unsicherheitsbehaftete Spuranalyse im FollowSM-Verfahren in 
einempraktisch nutzbaren Analysealgorithmus realisiert worden ist. Dazu wird erst auf die Konsequenzen aus Theorem 

15 5 hinsichtlich der Konvergenz der Zustandsbeschreibung und auf die operationale Behandlung der Unsicherheit einge- 
gangen. Es folgt eine Eriauterung des Kernalgorithmus fiir die Zustandsexpansion. Danach wird dargelegt, welche Such- 
strategie fur die Suche im Zustandsraum zu bevorzugen ist, und wie man aus dem Suchbaum eine lineare Zustandsent- 
wicklung erhalt. Ein weiterer Unterabschnitt beschreibt die verschiedenen Arten von Analysen, die aus dem Ergebnis der 
Spuranalyse generiert werden konnen. Letzter Punkt ist eine Beschreibung des Datenmodells, das der Algorithms ver- 

20 wendet. 

3.3.1 Behandlung der Unsicherheit 

Im Beweis von Theorem 5 wird deutlich, daB die Spezifikation der unsicherheitsbehafteten Spuranalyse sehr schwach 
ist- Als Beschreibung der einfachen Zustandsanteile <f geniigen im allgemeinen Obermengen der tatsachlich gemaB der 
einfachen Spuranalyse moglichen Zustande, so daB sich der Beweis mit Q als "Joker-Zustand" aushelfen kann. Die Spe- 
zifikation (3 8) erzwingt ledighch die Einhaltung der Zeitbedingungen und die korrekte Fortschreibung der Zeitgeberzu- 
stande T k Dank dieses Freiraums fiir Implementierungen der unsicherheitsbehafteten Spuranalyse kann der Darstel- 
lungsraum R auch fiir samtliche Zwischenschritte bei der Zustandsentwicklung verwendet werden, solange die Ober- 
30 mengenbedingung Beachtung findet. Dadurch konnen auch komplexe Bedingungen fur den aktuellen Zustand, die sich 
imLaufe der Suche ergeben konnen, zum Preis des Verziehts auf Vollstandigkeit (vgl. Abschnitt 3.2.2) efficient behan- 
delt werden. Allein die Wahl eines eingeschrankten Reprasentationsraums R fiir die Zustandsmengen schheBt die Voll- 
standigkeit schon deshalb aus, weil die exakte Menge der moghchen Folgezustande nach einer Transition - je nach Art 
dieser Transition - moglicherweise nicht reprasentierbar ist. 
35 Jede Implementierung der Spuranalyse muB bei jedem Entwicklungsschritt, der von einer unsicherheitsbehafteten Zu- 
standsbeschreibung ausgeht, einen KompronuB irgendwo zwischen den exakten Folgezustanden und der unbestimmten 
Zustandsbeschreibung Q eingehen, einen KompronuB zwischen Genauigkeit und Effizienz. Ob und wie schnell die Be- 
schreibung des aktuellen Zustands zu einem sicheren Zustand konvergiert, hangt davon ab, wie die Implementierung die- 
sen Spielraum ausnutzt. Die Konvergenz kann jedenfalls nicht aus der Definition der unsicherheitsbehafteten Spurana- 
40 lyse abgeleitet werden, sondem nur aus dem konkreten Analysatorentwurf fiir ein konkretes Protokoll. 

Datentypen zur Modellierung der Unsicherheit 

Beim FollowSM-Verfahren wird der Darstellungsraum R nicht quasi elementweise entworfen, sondern ergibt sich, in- 
45 dem fiir jede einzelne Zustandsvariable der Protokoll-EFSM einschlieBlich des Basiszustands ein besonderer Datentyp 
eingesetzt wird, der Teilmengen des Wertebereichs dieser Zustandsvariable gemaB der Minimalforderung (3.7) darstel- 
len kann und die notigen Pradikate und Operatoren zur Verfugung stellt. Mit n Zustandsvariablen 
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vi: Qi, . . ., v n : Q n 

und den zugehorigen die Variablen der Unsicherheit modellierenden Datentypen 
Ul :Ri e PQi, . . u n : R n 6 PQ n 
55 ergeben sich der Zustand q € Q und die Darstellung r e R zu 
q = (vi,...,v n ):Q = Qi x. ..xQ n 
■ r = (u b ...,u n ):R = RiX. . .xR n . 
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mit der Besonderheit, daB dieser Darstellungsraum keinerlei Abhangigkeiten zwischen den Werten verschiedener Zu- 
standsvariablen zu modellieren erlaubt - die Zustandsbeschreibung 

q = (l,2) V q=(2 ) l) 

kann nur ungenaii dargestellt werden als 

r = (1...2,1...2). 
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Um verschiedene Anforderungen erfiillen zu konnen, werden fur die iiblichen Grunddatentypen jeweils mehrere Re- 
prasentationsdatentypen bereitgehalten, die sich in der Darsteiiungsgenauigkeit unterscheiden. Dazu ein Beispiel: Eine 
Zustandsvariable mil Wertebereich 0,1, . . ., 255 (ein Oktett) lafit sich etwa einerseits darstellen durch eine ganzzahlige 
GroBe, die entweder einen bestimmten Wert der Zustandsvariable annimmt oder einen ausgezeichneten Wert (vielleicht 5 
-1) fur den Fall unbekannt, d. h. den vollstandigen Wertebereich. Dies ist genau die Minimallosung gemaB (3.7). Ande- 
rerseits konnte man auch ein Paar (a, b) von ganzen Zahlen verwenden, die ein Intervall [a, b] beschreiben. Einzelwertex 
e 0,1, . . ., 255 werden dann durch a = b = x dargestellt, die vollstandige Unsicherheit durch (0, 255). Der Extremfall in 
Richtung maximaler Genauigkeit ware eine vollstandige Teilmengenreprasentation, etwa durch einen 256-stelligen Bit- 
vektor. Wahrend die ersten beiden Falle geeignet sind, beispiel sweise Sequenznummera mit groBem Wertebereich platz- 10 
sparend darzustellen, bietet sich die dritte Variante z. B. an, um den fiir Protokollprozeduren entscheidenden Basiszu- 
stand, fiir den es nur eine uberschaubare Zahl von Moglichkeiten gibt, ohne Genauigkeitsverlust zu modellieren. 

Tabelle 3.1 stellt die beim FollowSM-Prototyp verfiigbaren Datentypen fur Zustandsvariablen dar. In der Spalte 
Name, Parameter sind der jeweilige Datentyp benannt und ggf. seine Parameter spezifiziert, von denen der Wertebereich 
der modellierten Zustandsvariable abhangt. Die Spalte Wertebereich gibt diesen Wertebereich Q der Zustandsvariablen 15 
an. In der Spalte Darstellung stehen die Variablen, die der jeweilige Datentyp intern zur Darstellung verwendet und die 
damit einen RiickschluB auf den Speicherplatzbedarf einer entsprechend modellierten Zustandsvariable zulassen. In der 
Spalte Semantik schlieBlich ist vermerkt, wie sich die reprasentierte Zustandsteilmenge aus der Darstellung ergibt. 

Mit diesen fiinf Datentypen sind die wichtigsten skalaren ZustandsgroBen in Kommunikationsprotokollen abgedeckt. 
Die Datentypen SET und LSET unterscheiden sich nicht funktional; LSET bietet lediglich eine effizientere Implemen- 20 
tierung fur Falle, in denen der reprasentierende Bitvektor in einer einzelnen ganzzahligen Variable abgelegt werden kann ' 
(32 Bits). 

Die Zustandsvariablen mit einem Wertebereich "Intervall der ganzen Zahlen" der Form (L; . . .; U} werden als Ring- 
intervall aufgefaBt, was im Fall L = 0 der Restklassenarithmetik modulo U + 1 entspricht. Figur A. 14 verdeutlicht diese 
Eigenschaft fur das Beispiel L = 10, U = 21. Fiir Protokolle wird die Restklassenarithmetik haufig benotigt, da Sequenz- 25 
nummem typischerweise in dieser Form interpretiert werden (z. B. im SS COP-Protokoll [IT94a]). Formal ist die Arith- 
metik auf den Ringinterv alien folgenderrnaBen definiert: 

a <lju o g.d.w. 0 < b - a < — — V a - b > 

&>l 1 u b g.d.w. 0 < a - b < V b - a > 

2 2 

a+L,ub = L + {(a + b-L) mod (U-L + l)) 
a~L,ub = L + ((a- 6- L) mod (U - L + 1)) 
a,6€ {£,...,[/}; L.UeZ 

Wahrend die Definidon der Addidon und Subtrakdon unmittelbar einsichtig sind, muBte fiir die Vergleiche - als einzig 
mogliche Festlegung ohne Kenntnis der jeweiiigen Semantik der Werte - eine Links- bzw. Rechts-von-Regel im Sinne 40 
eines Uhrzeigers verwendet werden. Diese. Interpretation liefert zumindest dann das erwartete Ergebnis, wenn die vergli- 
chenen Werte relativ zur IntervallgroBe "nahe beieinander" liegen - namlich bis hin zur halben IntervallgroBe. 



Operationen und Pradikate 
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Die jeweilige Protokollspezifikation enthalt Pradikate und Operationen auf den Zustandsvariablen des Protokollauto- 
maten. Diese Pradikate und Operationen mussen beim FollowSM-Verfahren auf Objekte der hier vorgestellten Datenty- 
pen angewandt werden. Dies fuhrt, wie in Abschnitt 3.2.2 beispielhaft ausgefuhrt, zu Anderungen, insbesondere zu Ein- 
schrankungen der Wertemenge, die aktuell fiir die Belegung einer Zustandsvariable noch in Frage kommt. Die Operatio- 
nen auf unsicherheitsbehafteten Zustandsvariablen sind damit erheblich komplexer als die auf den Zustandsvariablen in 50 
der Protokollspezifikation, die zu jedem Zeitpunkt ja mit genau einen einzelnen (sicheren) Wert aus ihrem Wertebereich 
belegt sind. Der entscheidende Unterschied ist, daB auch die Auswertung eines Pradikats P auf einer unsicherheitsbehaf- 
teten Zustandsbeschreibung r e R zu einer neuen Zustandsbeschreibung r' fuhrt, namlich zu derjenigen Tbilmenge von r, 
fiir deren Elemente das fragliche Pradikat erfullt ist. Man kann also ein unsicherheitsbezogenes Pradikat P u aus P ableiten 
als eine Funktion auf der unsicherheitsbehafteten Zustandsbeschreibung: 55 

r' = P u (r)2 {qe rlP(q)} 

Die Obermengen-Bedingung ist wieder eine Folge der eingeschrankten Reprasentierbarkeit. Das Ergebnis "falsch" ei- 
nes konventionellen Pradikats ist Equivalent zu r' = 0. Nachdem ein Pradikat dergestalt ausgewertet wurde urid "wahr" 60 
ergeben hat, d. h. eine nichtleere resultierende Zustandsbeschreibung r', mussen alle nachfolgenden Operationen, die ge- 
maB der Protokollspezifikation von der Gultigkeit der mit P modellierten Bedingung abhangen, auf r' operieren, denn sie 
sind nur dann moglicherweise zulassig, wenn der tatsachliche aktuelle Zustand innerhalb der Zustandsmenge r' liegt. 

Im folgenden werden die wesentlichen Operationen auf den Unsicherheit modellierenden Datentypen aufgelistet. Das 
Symbol Q steht dabei immer fiir den Zustandsvariablen- Wertebereich und das Symbol R fiir den Darstellungsraum des 65 
jeweiiigen Datentypen. Fiir die angegebenen Spezifikationen wird aus Vereinfachungsgrunden 
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verwendet, um mit Hilfe der leeren Wertemenge 0 die Nichterfullung eines Pradtkats ausdriicken zu konnen. Man be- 
achte, daB die leere Menge mit den Datentypen an sich nicht reprasentierbar sein muB, weil sie einem "unmoglichen" Zu- 
stand entspricht und ein solcher in keinem Fall weiterverarbeitet zu werden braucht. Der min-Operator auf einer Menge 
von Mengen bezeichnet in der folgenden Auflistung jeweiis eine Menge mit der kleinsten Kardinalitat. 

- Test auf Gleichheit mit einem Wert b 
Operation: eq: R x Q — ► Ro 

Betrifft: BOOL, INT, RANGE, SET, LSET 
Spezifikation: eq(a, b) = {b} 

- Test auf Gleichheit zweier Zustandsvariablen a, b 
Operation: eq: R x R — * Rq x Ro 

Betrifft: BOOL, INT, RANGE, SET, LSET 
Spezifikation: eq(a, b) (a', b') 
a' = b' = min{r e Rlr 2 a ft b} 

- Test auf "wahr" 
Operation: tr: R — * Ro 
Betrifft: BOOL 
Spezifikation: tr(a) = a O W 

- Test auf "falscrT 
Operation: fl: R — ► Ro 
Betrifft: BOOL 
Spezifikation: tr(a) = a Pi F 

- Test auf "kleiner als" Wert b 
Operation: It: R x Q Ro 
Betrifft: INT, RANGE, SET, LSET 
Spezifikation: lt(a, b) = min{r e Rlr 2 {x e alx < b}} 

- Kleiner- als-Relation zweier Zustandsvariablen a, b 
Operation: It: R x R — ► Ro x Ro 

Betrifft: INT, RANGE, SET, LSET 
Spezifikation: lt(a, b) (a', b') 

a' = min{r € R\r a\3y G b • x < y}} 

b' = min{r e R\r D {y G b\3x E a • x < y}} 

- Test auf "kleiner oder gleich" Wert b 
Operation: le: R x Q — ► Ro 

Betrifft: INT, RANGE, SET, LSET 

Spezifikation: le(a, b) = min{r e Rlr 2 (x e alx < b}} 

- Kleiner-oder-gleich-Relation zweier Zustandsvariablen a, b 
Operation: le: R x R — ► Ro x Rq 

Betrifft: INT, RANGE, SET, LSET 
Spezifikation: le(a, b) (a', b') 

a' = min{r G R\r D{xG a\3y eb^x <y}} 
b' = miri{r G R\r D {y G b\3x G a • x < y}} 

- Test auf f, gr6Ber als" Wert b 
Operation: gt: R x Q — ► R 0 
Betrifft: INT, RANGE, SET, LSET 
Spezifikation: gt(a, b) = min{r e Rlr 2 {x e alx > b) } 

- GroBer- als -Relation zweier Zustandsvariablen a, b 
Operation: gt: R x R — ► R 0 x Ro 

Betrifft: INT, RANGE, SET, LSET 
Spezifikation: gt(a, b) (a', b") 

a' = min{r G R\r D {x G a\3y eb^x > y}} 
V = min{r G R\r D {y G b\3x G a • x > y}} 

- Test auf "groBer oder gleich" Wert b 
Operation: ge: R x Q — ► Ro 
Betrifft: INT, RANGE, SET, LSET 

Spezifikation: ge(a, b) = min{r e Rlr 2 (x e alx > b}} 

- GroBer-oder-gleich-Reladon zweier Zustandsvariablen a, b 
Operation: ge: R x R — ► R x R 0 

Betrifft: INT, RANGE, SET, LSET 
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Spezifikation: ge(a, b) (a', b T ) 

a' = min{r e R\r D {x e a|3y € 6 • a: > y}} 
b' = min{r G fl|r D {y € 6|3r 6 a • x > y}} 

- Addition eines Wertes b 
Operation: +: R x Q — ► R 
Betrifft: INT, RANGE/ SET, LSET 
Spezifikation: 

a + b = min{r g i?|r D {z 6 Q|3x 6 a • z = x + &}} 

- Addition zweier Zustandsvariablen a, b 
Operation: +: RxR— *R 
Betrifft: INT, RANGE, SET, LSET 
Spezifikation: 

a + b = min{r G J?|r 3 {z € Q|3x 6 a, y 6 6 • z = x + y}} 

- Subtraktion eines Wertes b 
Operation: +:RxQ~^R 
Betrifft: INT, RANGE, SET, LSET 
Spezifikation: a - b = a + (-b) 

- Subtraktion zweier Zustandsvariablen a, b 
Operation: -: R x R — * R 
Betrifft: INT, RANGE, SET, LSET 
Spezifikation: 

a - 6 = min{r <E R\r D {z e Q\3x G a, y € b • z = x - y}} 

- Mengenrelation zweier Zustandsvariablen a, b 
Operation: &&: RxR— ^ {id, sub, sup, ov, dis } 
Betrifft: BOOL, INT, RANGE, SET, LSET 
Spezifikation: 

id wenn a = b 
sub wenn a C b . 
a&c&b = < sup wenn a D 6 

ov wenn a Pi 6 ^ 0 A a g 6 A a 2 & 
^ dis wenn a n 6 = 0 

Die Abkiirzungen stehen fur identical (identisch), subset (echte Teilmenge) , Superset (echte Obermenge), overlapping 
(uberlappend) und disjoint (disjunkt). 

- Zustandsvereiriigung zweier Zustandsvariablen a, b 
Operation: I: RxR-^R 

Betrifft: BOOL, INT, RANGE, SET, LSET 
Spezifikation: alb = miri(r 6 Rlr 2 a U b) 

Es ist zu beachten, daB fur die Datentypen RANGE, SET und LSET die Operatoren <,>, +, - im Sinne der weiter oben 
spezifizierten Ringarithmetik < uu ,> L U , + L>u , - L U zu interpretieren sind. 

Eine nur auf den ersten Blick irritierende Konsequenz aus der Auswertung von Pradikaten unter Unsicherheit ist die 
Tatsache, daB das logische Gesetz 

aAa = F 

nicht rnehr gilt: Angenommen, a = {17, . . ., 42} e RANGE wird mit den Pradikaten a < 30 und a > 30 untersucht. In 
beiden Fallen lautet das Ergebnis "wahr'\ mit den resultierenden eingeschrankten Zustandsbeschreibungen a = {17, 
30} im ersten und a = {31, . . ., 42} im zweiten Fall. Anschaulich bedeutet dies, daB angesichts der gegebenen Zustands- 
beschreibung in der Protokoll-Implementierung jedes der beiden Pradikate als "wahr" ausgewertet werden konnte. Daher 
miissen fur das nachfolgende Protokollverhalten auch beide Alternative^ der "ja"- und der "nein^Zweig der Fallunter- 
scheidung, gleichberechtigt als in Frage kommendes korrektes Verhalten in Betracht gezogen werden. 

Logische Ausdriicke 

Ebenfalls komplizierter als in der konventionellen Auswertung von Bedingungen zeigt sich die Behandlung von Kon- 
junktionen und Disjunktionen mehrerer Einzelpradikate. Zur Diskussion dieses Sachverhalts wird zunachst folgende 
Schreibweise eingefiihrt fur die Anwendung eines Pradikats P auf eine Zustandsbeschreibung r: 
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P:R — Ro P(r) = r' 

wobei diejenige bzw. diejenigen Zustandsvariablen in r, auf die P Bezug nimmt, in r* durch die resultierenden einge- 
schrankten Zustandsmengen a' und ggf. b' wie in der Aufstellung der Operationen auf unsicherheitsbehafteten Zustands- 
variablen ersetzt werden. Fur die effiziente operationale Auswertung von Konjunktionen und Disjunktionen ergeben sich 
folgende Verfahren: 

Konjunktion 

Konjunktionen konnen durch sequentielle Auswertung der Argumentpradikate berechnet werden: 
(Pi A P 2 )(r) = (P 2 o POM = P 2 (Pi(0) 

Diese Regel erlaubt eine sehr effiziente Berechnung von Konjunktionen mit beliebig vielen Termen, ohne besondere 
Eigenschaften dieser Terme beriicksichtigen zu miissen. 

Disjunktion 

- Im allgemeinen Fall miissen bei der Berechnung von Disjunktionen die erfullenden Zustandsteilmengen wieder 
vereinigt werden: 

(Pi V P 2 )(r) 2 Pr(r) U P 2 (r) 

Die zusatzliche Mengenvereinigung wird hier mittels der l-Operation auf den Datentypen fiir die einzelnen Zu- 
standsvariablen realisiert. Sie erzeugt bei Pradikaten, die sich auf unterschiedliche Zustandsvariablen beziehen, Un- 
genauigkeiten aufgrund der bereits diskutierten Kreuzproduktstruktur des Darstellungsraums. Dazu ein Beispiel: 

(a L 7 V b = 9)(a = 1...9, b = 8...10) 
= (a= 1.. 9, 6 = 8.. .10) 

D ( a = 7)(a= 1...9, b = 8.. .10) U (b I 9)(a = 1...9, b = 8... 10) 
•= (o = 7 I 6 = 8'...10)U(o = l..-9 l 6 = 9) 

- Wenn von vornherein bekannt ist, daB sich die Terme einer Disjunktion auf verschiedene Zustandsvariablen be- 
ziehen, kann daher das folgende vereinfachte Berechnungsschema verwendet werden: 



(AVP 2 )(r)=| 



r . wenn P x {r) ^ 0 V P 2 (r) ^ 0 
0 sonst 

3.3.2 Kernalgorithmus 



In diesem Abschnitt wird der Kernalgorithmus der Zustandsexpansion beim FollowSM-Verfahren vorgestellt, d. h. die 
Durchfiihrung der einzelnen Suchschritte im Zustandsraum. 

Bisher wurden nur Manipulationen von einzelnen Zustandsbeschreibungen der Form r = (u 1? . . u J behandelt, die 
aus je einem Unsicherheit modellierend[en Zustandsvariablenobjekt pro Zustandsvariable der Protokoll-EFSM bestehen 
(vgl. Abschnitt 3.3.1). Fiir solche Zustandsbeschreibungen, abgekiirzt mit Z, Z', Z", wird im f olgenden der Einfachheit 
halber nur noch der Begriff Zustand verwendet, obwohi ein solcher Zustand stets fur eine Menge von Zustanden z der 
Protokoll-EFSM steht. Ein Zustand Z enthalt insgesamt: 

- eine reprasentierbare Teilmenge r e R des Zustandsraums der Protokoll-EFSM, 

- einen Zeitgeberzu stand X der OTEFSM, der ja - durch die Intervalle fur Zeitgeberablaufe - von Natur aus eben- 
falls Unsicherheit beinhaltet, 

- das Eintrittsintervall 1 0. .t! dieses Zustands, gleichbedeutend mit dem Intervall moglicher Schaltzeitpunkte der 
vorangegangenen Transition und 

- die Indizes i und o der nachsten noch nicht verarbeiteten Eingabe- bzw. Ausgabe-PDU. 

In den unten dargestellten Algorithmen wird vereinfachend Z.als die reprasentierte Zustandsmenge verwendet. 

Die Beweise zu den Theoremen 2 und 5 zeigen, dafi die Suche im Zustandsraum auf die elementare Aktion hinaus- 
lauft, zu einem gegebenen Zustand Z alle Transitionen zu ermitteln, die aufgrund von Z und den jeweils nachsten noch 
nicht zugeordneten Kommunikationsprimitiven zulassig sind, und alle sich daraus ergebenden Folgezustande zu berech- 
nen. Die Spezifikation (3.8) der unsicherheitsbehafteten Spuranalyse erlaubt nicht, diese Folgezustande in einem einzel- 
nen - unsicherheitsbehafteten - Zustand zusammenzufassen, weil die i. a. eingeschrankte Reprasentierbarkeit dabei zu 
Ungenauigkeiten fiihren konnte, die von der Spezifikation nicht gedeckt sind. Ungenauigkeiten in Form der Obermen- 
genbedingung sind ja nur bei der Ermittlung des Folgezustands im Rahmen der Anwendung einer Transition zulassig. 
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jlvj-^ ty y ^y iuu r\ jl 

Daher werden in einem Durchlauf der Prozedur Entwickle, die einen elementaren Suchschritt modeUiert, alle fur den 
unmittelbar nachsten Schaltvorgang in Frage kommenden Transitionen ermittelt und auf die vorliegende Zustandsbe- 
schreibung Z angewandt. Die resultierenden Zustandsbeschreibungen werden in die Liste M eingetragen. Hier fplgt der 
Algorithmus von Entwickle als Pseudo-Code. Dabei wird die Abkiirzung Pt(z, i) fur die Vorbedingung fur das Schalten 
einer Transition T verwendet, formal: 5 

Pr{z,i) g.d.w. 3t($(T,t,z,i) > (0,0)) 
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Prozedur Entwickle(Z, riast) 
Z : Zustand 

*iast : spatester Endzeitpunkt des Schrittes 
unmittelbare Transitionen bearbeiten 

Z" <r-Z 

Fur T G A|i/t = -L A 7r T > 0 A e T (2) 7^ 1 mit absteigender Prioritat 
Wenn Prioritat kleiner a Is bei letzter T 
Z*-Z" 

Wenn Z = 0 Dann Fertig Fall 1 

Z'£{z€Z|Pr(z,±)} 
Wenn Z' ± 0 

FuhreAus(Z', T, fo, ti, ^iast) 

Z" e- {z £ Z"\P T (z,±)} ■-- andere Transitionen blockiert 
Z f- Z" 

Wenn Z = 0 Dann Fertig -- Fall 1 

-- verspatete Transitionen bearbeiten 
Z" 

Fiir T € A|t/»t # -L a tz(</t)2 < <o mit absteigender Prioritat 
Wenn Prioritat. kleiner als bei letzter T 
Z <r- Z" 

Wenn Z = 0 Dann Fertig -- Fall 2 

Z'£{zeZ|P T (z,_L)} 
Wenn Z' ^ 0 

FiihreAus(Z',T, f 0 ,ti, 

Z" -F- {z e Z"\P T {z,±)} - andere Transitionen blockiert 
Z<-Z" 

Wenn Z = 0 Dann Fertig -- Fall 2 

— zeitabhangige und spontane Transitionen bearbeiten 
tout <- Zeit der nachsten Ausgabe-PDU 
im 4- min(t 0 ut»^last) 

Fiir t e : t^(Vt')2 aktivierter zeitabhangiger T' € A (aufsteigend) zzgl. t m 

— t e sind die moglichen Obergrenzen fiir den Schaltzeitpunkt 

Z' <f- {z G Z| keine nach A* hoher priorisierte Transition als T' aktiviert bis t e } 
Wenn Z' = 0 Dann Weiter 

— zeitabhangige und spontane Transitionen fiir Schalten bis t e untersuchen 
Fur T e A|(</>r 7^ -L A r z (^r)2 < t e ) V tt t = 0 

Z" {z € Z'|eT(2,ip^,opd^)} 
Wenn Z" 7^ 0 

[<o»*i] mogliche Ausfiihrungszeit fiirT 

- T ausfuhren 

Wenn T zeitabhangig Dann Zeitgeber zuriicksetzen 
Z" a T {Z'\ipdu,opdu) 
Z" .<o to 

M <-Mu{Z"} 
Wenn t e Endzeit einer Transition 

zd-{ z ez\P T .{z,±.)} 
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Wenn Z = 0 Dann Fertig - Fall 4 

- Ausgabe- vor nachster Eingabe-PDU => Sackgasse 
Wenn i m < i last Dann Zuriick - Fall 5 

- Schrittende vor nachster Eingabe-PDU =» diesen Zustand merken 

<- Zeit der nachsten Eingabe-PDU 
Wenn t Jast < t in 
M*-Mu{Z} 
Zuruck 

- eingabeabhangige Transitionen bearbeiten 
Z" <-Z 

Fur T e A|e T (2) £ {±} 

Wenn Prioritat kleiner als bei letzter T 

Z<r~Z" 

Wenn Z = .0 Dann Fertig - Fall 3 

z'^{zez|P r (z,; P du)} 

Wenn Z' 0 . 
. f x f- Zeit der Eingabe-PDU 
FuhreAus(Z / y T > t Xl f x> t last ) 

2" <=- {z G Z"|P T (z,ipdu)} - andere Transitionen blockiert 
Z<-Z" 

Wenn Z = 0 Dann Fertig - Fall 3 

- Option: Eingabe-PDU ignorieren, falls von keiner Transition gelesen 
Wenn Nicht Option ignoreJpdu Dann Fertig — Falle 6, 7 
Z.t 0 ,Z.ti <- Zeit der nachsten Eingabe-PDU 

M MU'{Z} 

Ende von Entwickle 

Die Routine FuhreAus, die von Entwickle verwendet wird, fafit die notigen Operationen zusammen, um eine Transi- 
tion T, deren Vorbedingung P T (Z, i) bereits gepruft wurde, auszufuhren, falls ihre Ausgabespezifikation zur nachsten 
beobachteten Ausgabe-PDU paBt: 

Prozedur FuhreAus( Z,T, opdu y ipdu) 
Z : Zustand 

T : Transition (Vorbedingung Pr(Z,ipdu) erfullt) 

opdu ": nachste Ausgabe-PDU 
ipdu : nachste Eingabe-PDU 

Z 4- {z E Z\er{z, ipdu, opdu)} 
Wenn Z ^ 0 

[to-.ti] <— mogliche Ausfiihrungszeit fur T 
— T ausfuhren 

Wenn T zeitabhangig Dann Zeitgeber zurucksetzen 

Z ar(Z, ipdu, opdu) 
Z.Iq «— to- 
Z± x <~~ti 

Mf-MU{Z} 

Der ALgorithmus berechnet alle moglichen Entwicklungsschritte fur jeweils maximale Schakzeitintervalle [to . tj. 



33 



Die relativ komphzierten Priorisierungsregelungen erfordern, daB die aktuelle Zustandsbeschreibung Z nach jeder 
Klasse gleichpriorisierter Transitionen um diejenigen elementafen Zustande z gekurzt wird, in denen ein Schaltvorgang 
erzwungen und die restlichen Transitionen dadurch blockiert werden. Besonders kompliziert gestaltet sich die Prioritats- 
auswertung fiir zeitabhangige Transitionen, weil die Priorisierung nur unter zeitabhangigen Transitionen mit demselben 
5 auslosenden Zeitgeber gilt und weil mit jedem Zeitgeberablauf eine neue Blockierungssituation eintritt, aber nur fiir die- 
jenigen Transitionen T und Elementarzustande z, deren Aktivierungspradikat durch z erfullt wird. Daher miissen fur 
unterschiedliche Zustandsteilmengen u. U. unterschiedliche Schaltzeitintervalle fur zeitabhangige und spontane Transi- 
tionen verarbeitet werden. 

Der Zeitpunkt t last begrenzt das betrachtete Zeitintervall nach oben, damit im in Abschnitt 2.2.1 geforderten "Online"- 
LO Betrieb keine Blockierung durch ausbleibende PDUs eintreten kann: Wenn zur Zeit t^t keine weiteren PDUs eingetrof- 
fen sind, wird der gerade entwickelte Zustand unverandert als "neue" Zustandsbeschreibung ubernommen. Dies ist for- 
mal unproblematisch, sofem t^ weiter in der Zukunft liegt als die maximale Ausgabeverzogerung d T samtlicher Tran- 
sitionen. 

15 3.3.3 Suchstrategie 

Im letzten Abschnitt wurde die Berechnung eines einzelnen Suchschritts beschrieben. Dabei hat noch keine Festle- 
gung stattgefunden auf die zu verwendende Suchstrategie bei der Konstruktion des Zustandssuchbaums. Klassischer- 
weise kommen hier einerseits die Tiefensuche (depth-first search, DFS) und andererseits die Breitensuche (breadth-first 
20 search, BFS) in Frage. Diese Entwurfsentscheidung schlagt sich vordergrundig in der Auswahl des jeweils nachsten zu 
entwickelnden Zustands Z aus der Zustandsliste M nieder. 

In den Arbeiten [EvB95] und [BvBDS91] wird die Tiefensuche favorisiert, weil bei der Breitensuche alle noch nicht 
entwickelten Knoten des Suchbaums dieselbe Tiefe im Baum haben und daher im Speicher aufbewahrt werden miissen. 
Bei der Tiefensuche genugt es dagegen, den aktuell bearbeiteten Suchpfad zu speichern ab dem altesten Knoten, von dem 
25 aus noch eine Verzweigung moglich ist (Riicksetzpunkt). Wenn dieser alteste Riicksetzpunkt weit genug zuriickliegt, 
wird er ublicherweise geloscht, weil ein vollstandiges Scheitem des aktuell untersuchten Zweiges heuristisch oder for- 
mal aufgrund der Protokolleigenschaften ausgeschlossen wird. Damit wird eine Aufwandsbegrenzung erreicht durch 
Abschneiden - hoffentlich - redundanter Entwicklungspfade. 

Im FollowSM-System wird dagegen der Ansatz der Breitensuche verf olgt. Fiir diese Entwurfsentscheidung sprechen - 
30 auch unter Beriicksichtung der genannten Argumente fur die Tiefensuche - folgende Punkte: 

1. Bei der Breitensuche entspricht die Entwicklungsreihenfolge im wesentlichen der Abfolge der beobachteten 
Ein- und Ausgabenachrichten. Daraus folgt eine hohe Lokalitat der Zugriffe auf die Nachrichterifolge und die Mog- 
lichkeit, eintreffende Nachrichten sofortund endgultig zu verarbeiten. Es ist nicht wie bei der Tiefensuche erforder- 

35 lich, Nachrichten zu speichern, um beim Zuruckrollen der Suche bis zu einem alteren Riicksetzpunkt die zugehori- 

gen Nachrichten wieder zur Verfugung zu haben. Damit eignet sich die Breitensuche besonders gut fur den "On- 
line" -Betrieb. 

2. Nur die Breitensuche erlaubt die Pf advereinigung ohne Mehraufwand. FollowSM macht regen Gebrauch von 
der Moglichkeit, daB ein Protokollzu stand z iiber verschiedene Teilpfade der Zustandsentwicklung erreicht werden 

40 kann. Wann immer eine resultierende Zustandsbeschreibung Z 

(a) identisch (Z = Z') zu, 

(b) eine Verallgemeirierung (Z D Z') oder 

(c) eine Spezialisierung (Z C 21) 

einer schon erhaltenen Zustandsbeschreibung Z ist, so braucht einer von beiden Pfaden nicht weiterentwickelt zu 
45 werden, weil seine Elementarzustande sonst doppelt untersucht wurden. Im den Fallen 2a und 2c entfallt Z, im Fall 

2b wird Z r durch Z ersetzt. Diese Vorgehensweise ist in den Prozeduren Entwickle und FuhreAus in Abschnitt 3.3.2 
durch Terme der Form M U (Z) wiedergegeben. 

Die Pf advereinigung reduziert den Rechen- und Speicheraufwand um GroBenordnungen, weil jedes der genannten 
Ereignisse einen ganzen Unterbaum im Suchbaum abschneidet. Figur A.15 zeigt ein Beispiel, in dem sich der ab- 
50 geschaltet dargestellte Teilbaum durch eine einzige Pfadvereinigung als redundant herausstellt. Bei der Tiefensuche 

ware die Pfadvereinigung nur moglich, wenn der gesamte Suchbaum ab dem altesten Rucks etztpunkt standig ge- 
speichert bleibt - ein vom Speicheraufwand vollig unpraktikables Vorgehen. 

3. Man kann auf Heuristiken verzichten, die angeben, wie lange ein Riicksetzpunkt aufgehoben werden muB. Da- 
mit ist die Breitensuche auch das formal vollstandigere bzw. protokollunabhangige Verfahren. 

55 

Naturlich sind der Rechen- und Speicheraufwand fur einen Suchbaum im schlimmsten Fall grundsatzlich exponentiell 
in der Suchtiefe, hier also in der Lange der beobachteten Nachrichtensequenz. Fiir FollowSM gilt jedoch, daB das jeweils 
vorliegende zu analysierende Protokoll dank der Pfadvereinigung eine faktische obere Schranke setzt fur die Anzahl der 
gleichzeitig zu speichernden alternativen Zustandsbeschreibungen. Mit dieser oberen Schranke, etwa m, ergeben sich 
60 dann: 

- ein in der Beobachtungslange linearer Aufwand fur die Rechenzeit, da pro Entwickiungsschritt hochstens m-mal 
Entwickle ausgefuhrt werden muB und m hochstens linear in die Ausfuhrungszeit von Entwickle eingeht (insbeson- 
dere beim Test auf redundante Zustande). 
65 - ein konstanter Speicheraufwand von m Zustandsbeschreibungen. 

Daraus ergibt sich als Fazit, daB die Breitensuche mit Pfadvereinigung der Tiefensuche in alien qualitativen und quan- 
titativen Belangen uberlegen ist. 
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Die Realisierung der Breitensuche in der Prozedur Analysiere ist im folgenden skizziert. Die als Parameter ubergebene 
Zeit tto dient wieder zur Begrenzung des Entwicklungsintervalis vor allem fur die "Online"-Analyse. Der Algorithrnus 
zeigt auch das Kriterium fur das Erkennen eines Verhaltensfehlers: Wenn die Zustandsliste M nach einem Entwicklungs- 
schritt leer ist, gibt es keinen Zustand rnehr, der mit der Beobachtung nach MaBgabe des Protokolis vereinbar ist (vgl. 
Theoreme 3, 4 und 5). Es muB sich also - spatestens zurn aktuellen Zeitpunkt der Entwicklung - ein fehlerhaftes Verhal- 
ten der beobachteten Instanz ereignet haben. 

Variablen: 

M : Zustandsliste 

Prozedur Analysiere(£ t0 ) 

*to : Soll-Ende des Analyse-Abschnitts 



Wiederhole 
Wenn M = 0 

M <— Initialzustand zur Zeit ZX\ 
Z <- Z' E M\Z'.t 0 minimal 
Abbruch Wenn Z.t 0 > < t0 
M+-M-Z 
Entwickle(Z, Z.ty + rf max ) 
Wenn M = 0 

Ausgabe: Verhalterisfehler (Fall 1..7) 

Ende von Analysiere 

Bei der Initialisierung der Zustandsliste M mussen im allgemeinen mehrere Zustandsobjekte Z eingetragen werden, 
weil zu jedem Z ja die Venveise auf die nachsten PDUs gehoren. Im OTEFSM-Konzept konnen Ausgaben ja mit gewis- 
ser Verspatung gegeniiber den Schaltereignissen beobachtet werden. Daher konnen alle Ausgaben, die zwischen dem Be- 
obachtungsbeginn oder -neubeginn und dem Maximum d max der Ausgabeverzogerungen der Transitionen - beobachtet 
werden, 

von einem Schaltereignis vor dem Beobachtungsbeginn stammen. Ausgaben, fur die das gilt, miissen ignoriert werden, 
damit nicht falschlicherweise Verhaltensfehler gemeldet werden. Figur A.16 zeigt an einem Beispiel, wie sich dies auf 
die initiale Zustandsliste M auswirkt. 

3.3.4 Module und Unabhangigkeit 

Bisher war ausschlieBlich von der Spuranalyse einer einzelnen Protokoll-EFSM die Rede, modelliert durch eine ein- 
zelne OTEFSM. Meistens sind praktische Protokolle zwar im wesentlichen mit einer einzelnen EFSM spezifiziert, in ei- 
ner realen Implementierung arbeiten aber fast immer mehrere Protokoll-EFSMs nebeneinander. Denn 

1 . Protokolle ab OSI-Schicht 3 (Netzwerkschicht) aufwarts konnen meist mehrere virtuelle Verbindungen (connec- 
tions) oder mehrere Sitzungen (sessions) unterhalten, wobei jede Verbindung oder Sitzung durch eine eigene EFSM 
beschrieben wird, und 

2. die Protokolle mehrerer ubereinanderliegender Schichten werden ebenfalls durch getrennte EFSMs modelliert. 

Urn den FollowSM-Analysator in diesen Fallen sinnvoll einsetzen zu konnen, mui3 er mehrere unsicherheitsbehaftete 
OTEFSMs gleichzeitig analysieren konnen. Dies stellt keinerlei zusatzliches Problem dar, weil die Zustande aller betei- 
ligten OTEFSMs, wie in Abschnitt 3.3.3 dargestellt, in einer gemeinsamen Zustandsliste M verwaltet werden konnen, 
deren altester Eintrag im jeweils nachsten Suchschritt weiterentwickelt wird. Dasselbe Verfahren erlaubt auch, beide 
Endpunkte einer Kommunikations verbindung gleichzeitig zu iiberwachen, wodurch die in Abschnitt 2.2.1 begrundete 
Entscheidung fur eine beobachtete Instanz folgenlos bleibt. Die einzelnen OTEFSM-Instanzen mit separaten Zustands- 
beschreibungen heiBen bei FollowSM, in Anlehnung an Estelle, Module. 

Ailerdings ist die gleichzeitige Analyse mehrerer OTEFSMs nicht gleichwertig zu einem vollstandigen CEFSM-Mo- 
dell (kommunizierende EI^SMs, communicating EFSMs) wie z. B. in SDL [CCI87]: Dort kann jede EFSM mit jeder an- 
deren der Spezifikation kommunizieren, wahrend in FollowSM alle OTEFSM-Instanzen unabhangig voneinander aus- 
schlieBlich iiber die beobachtete Kommunikationsstrecke Nachrichten austauschen. Figur A. 17 skizziert den Unter- 
schied. 

Wesentliches Merkmal der Verwendung mehrerer Module in FollowSM ist deren zwangslaufige Unabhangigkeit: 
Keine in einem Modul getroffene Zustandsentscheidung kann irgendeine Auswirkung haben auf Zustandsentscheidun- 
gen in anderen Modulen. Formal ausgedruckt ist die Menge der aufgrund der Unsicherheit moglichen Systemzustande zu 
jedem Zeitpunkt das Kreuzprodukt der moglichen Zustande jedes einzelnen Moduls. 
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Beispiel 

Im B-ISDN-Signalisierungsprotokoll Q.2931 [IT94b] existieren gehau ein SystemprozeB je Implementierung und ein 
verbindungsspezifischer ProzeB je call reference. Der SystemprozeB kann eine Operation ausfuhren, in der alle bestehen- 
den Verbindungen abgebaut, d. h. alle verbindungsspezifischen Prozesse terminiert werden. Wenn der Erfolg einer sol- 
chen Operation vom Systemzustand abhangt, gibt es folgende Moglichkeiten: 

1. Der Abbau findet statt => alle Verbindungsprozesse terminieren. 

2. Der Abbau findet nicht statt =>' kein VerbindungsprozeB terminiert. 

BeiFollowSM kann diese Alles-oder-nichts-Entscheidung nicbtrealisiert werden, es muBte jedes verbindungsspezifi- 
sche Modul selbst liber, den eigenen Abbau entscheiden, was bei unsicherer Zustandsinformation zu jeder denkbaren 
Kombination aus abgebauten und nicht nicht abgebauten Einzelverbindungen fuhren konnte. 

Diese Unabhangigkeitspramisse fuhrt also offenbar zu Ungenauigkeiten in der Modellierung. Allerdings bleibt die - 
dort nur pro Modul erhobene - Forderung aus Abschnitt 3.2.2 nach Korrektheit erfullt, weil bei Vernachlassigung mog- 
licher Abhangigkeiten eventuell zu viele, aber nie zu wenige Systemzustande betrachtet werden. AuBerdem ware em 
Verzicht auf die Unabhangigkeitspramisse mit einer nicht hinnehmbaren Erhohung des Zeit- und Speicheraufwands ver- 
bunden: Jede Kombination zwischen moglichen Modulzustanden muBte als einzeln zu verarbeitender Systemzustand 
verwaltet werden. Tabelle 3.2 zeigt einen Vergleich der Variantenzahlen, die sich mit und ohne Unabhangigkeitspramisse 
ergeben. 

3.3.5 Sy stems truktur 

Dieser Abschnitt erlautert grob die Datenfiusse und die Systemstruktur, die dem FollowSM-Analysator zugrundelie- 
gen. Figur A. 18 faBt diese Informationen grafisch zusammen. 

Leser 



Die Schnittstelle zum beobachteten Kommunikationsmedium bildet eine Leser-Komponente, die die ausgetauschten 
PDUs mit Zeitstempeln als Bitfolgen bereitstellt. Allein der Austausch dieses Lesers, der im aligemeinen nur aus wem- 
gen Code-Zeilen besteht, entscheidet uber den "Online"- oder "Offline"-Betrieb oder erlaubt den Wechsel der physikah- 
schen Schnittstelle oder - beim "Offline" -Betrieb - des Dateiformats. 

Dekoder 



Die nachste Haiiptkomponente ist der Dekoder, der die vom Leser in Gestalt einer Bitkette bereitgestellten PDUs in 
eine Folge von Attributwerten uberfuhrt, die den einzelnen PDU-Feldern entsprechen. Diese Darstellung sollte soweit 
wie moglich an der Semantik der PDU-Inhalte im Rahmen des ZielprotokoUs orientiert sein, d. h. rein syntaktische Frei- 
heiten in der PDU-Kodierung, die fur das Protokollverhalten bedeutungslos sind, gar nicht erst in die interne Attributdar- 
o stellung eingehen lassen. Dies betrifft z. B. Freiheiten in der Reihenfolge von Datenfeldem oder Informationen, die nur 
die Grenzen eines folgenden Feldes innerhalb der Bitkette definieren. Nicht vorhandene Optionale PDU-Felder konnen 
vom Dekoder ggf . schon durch die im Protokoll fur diesen Fall festgelegten Standardwerte ersetzt werden. 

Weil bekannte Spezifikationssprachen fur die PDU-Syntax wie z. B. ASN.l dieser Aufgabe der sernantikerhaltenden 
Reduktion fiir beliebige konkrete Transfersyntaxen (vgl.- Abschnitt 2.1 .2) nicht gewachsen sind, wird die PDU-Syntax im 
5 FollowSM-Ansatz nicht mit Hilfe einer Spezifikationssprache beschrieben, sondern der Dekoder prozedural entworfen. 
Der Dekoder muB auBerdem erkennen, zu welcher Art von OTEFSM-Modul und zu welcher OTEFSM-Instanz dieser 
Art eine beobachtete PDU gehort, damit sie fiir die Verhaltensanalyse richtig zugeordnet wird. Fehlerhaft kodierte PDUs 
werden ebenfalls vom Dekoder erkannt. 

50 Analysatbr und OTEFSM-Instanzen 

In der Analysator-Komponente ist die Logik der unsicherheitsbehafteten Spuranalyse zusammengefaBt. Diese Kom- 
ponente ist vollkommen protokollunabhangig. Instanzen der protokollspezifischen OTCFSM-Module werden immer 
dann erzeugt, wenn PDUs gelesen werden, die der Dekoder einem noch nicht existierenden Modul zuordnet. Sie werden 
55 entfemt, sobald sie in einem sicheren inaktiven Zustand sind und keine ihnen zugeordneten PDUs mehr vorliegen. 
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Tabelle3.1 



Die FollowSM Datentypen zur unsicherheitsbehafteten Modellierung von Zustandsvariablen 



Name, 
Parameter 


Wertebereich 


Darstellung 


Semantik 


BOOL 


{W,F} 


a€ {W,F,u/} 


{a} wenn a ^ uj 
{W,F} wenn a = u> 


INT 


Z 


aeZU{w} 


{a} wenn a ^ uj 
Z wenn a = u; 


RANGER 

L,c/ez 
L < U 


{L,...,U} 


a, 6 6 {L,...,C/} 


(a, 6} wenn a < b 
IT, bo, II\ wenn n ~> h 


SET L)i/ 
L,UeZ 
L <U 


{L, ...,{/} 


a6{0,lf- i+l 


{X€{L > ..:,C/}J0 X _L = 1}' 


LSET L>1/ 

L,uez 

L < U < L + 32 


{£,,. ..,{/} 


ae{o,if- i+1 


{xe{L,...,C/}|a s _ L = l} 
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Tabelle3.2 

Zustandsexplosion bei Verzicht auf die Unabhangigkeitspraniisse 30 



Anzahl ... 


Allgemein 


Beispiel 


Module 


m 


10 


Zustande pro Modul 


n 


3 


Modulzustande (unabhangig) 


m • n 


3 - 10 = 30 


Systemzustande (abhangig) 


n™ 


3 1U = 59049 
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3.3.6 Analyseberichte 

Dieser Abschnitt erlautert, welche Ergebnisse der FoliowSM-Prototyp dem Anwender liefert. Zu den unterschiedli- 
chen Arten yon abrufbaren Analyseberichten gehoren jeweils spezifische Verfahren, wie die im Suchbaum der Spurana- 
lyse enthaltenen Informationen ausgewertet und aufbereitet werden. Figur A. 19 steilt die vollstandige Hierarchie von 45 
FollowSM- Analyseberichten dar, in der die Pfeilrichtung fiir Abstraktion und damit Verdichtung eines Ursprungsberich- 
tes steht. Die Zahlen an den rechten unteren Ecken der Kastchen geben die Lange der Berichte in Zeilen fiir ein konkretes 
Beispiel an, urn die GroBenordnurig dieser Informations verdichtung zu illustrieren. Die einzelnen Berichtstypen werden 
im folgenden erklart. 

50. 

Protokoll aller Suchschritte 

Hier werden alle einzelnen Suchschritte der Zustandsentwicklung - einschlieBlich derjenigen Pfade, die spater als 
Sackgassen enden - ausgegeben. Es handelt sich also urn eine voDstandige Darstellung des Suchbaums. Diese ist auf- 
grund zahlreicher sich spater widerlegender Verzweigungen sehr uniibersichtlich und eignet sich kaum fur einen Men- 55 
schen als Leser. 

Relinearisierte Abfolge der Zustande 

Hier wird eine Folge von Zustanden und Transitionen rekonstruiert, die das beobachtete Verhalten der IUT erklart, 60 
also ein einzelner nichtabbrechender Pfad im Suchbaum. Diese Folge ermoglicht dem Benutzer einen guten Einblick in 
die abgelaufene Kommunikation und kann, anders als der vollstandige Suchbaum, schon eine wertvolie Hilfestellung 
sein. 

Bei der Ermittlung der Zustandsfolge sind zwei miteinander verwandte Teilprobleme zu losen: 

65 

1. Durch die Pfadvereinigungen, wie in Abschnitt 3.3.3 beschrieben, verwandelt sich der Suchbaum in einen ge- 
richteten Graphen, der die B aumei gens c haft eindeu tiger Vorgangerknoten nicht mehr aufweist. Es wird eine Daten- 
struktur benotigt, die diesen Suchgraphen verwalten und daraus effizient den ,, richtigen M erklarenden Pfad ableiten 
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kann. 

2. Jede durch eine Pfadvereinigung entstandene Masche im Suchgraphen fuhrt zu einer Mehrdeutigkeit in der Zu- 
standsentwicklung. Da im Interesse der Benutzerfreundlichkeit ein einzelner erklarender Pfad ermittelt werden soli, 
mussen diese Mehrdeutigkeiten aufgelost werden. AuBerdem soil zu jedem Zustand der Zustandsfolge eine Angabe 
erfolgen, ob er mit Sicherheit oder - aufgrund einer solchen Mehrdeutigkeit - nur vielleicht von der IUT durchlau- 
fen wurde. 

Die. Auflosung von Mehrdeutigkeiten ist in den Fallen vorgegeben, wo eine Verallgemeinerung oder Spezialisierung 
einer bekannten Zustandsbeschreibung stattfindet: Die allgemeinere Zustandsbeschreibung kann alle korrekten zukiinf- 
tigen Verhaltenalternativen erklaren, weshalb der zu ihr fuhrende Pfad statt des anderen in die erklarende Zustandsse- 
quenz aufgenommen werden muB. Bei gleichen Zustandsbeschreibungen findet eine nichtdeterministische Auswahl 
statt, die in FollowSM durch Beibehalt des zuerst gefundenen Pfades als einfachere Variante realisiert ist. 

Die Pfad-Datenstruktur des FollowSM-Systems zur Verwaltung des Suchgraphen basiert auf einem gerichteten Gra- 
phen mit zwei Kanten- und drei Knotentypen. Die Kantentypen sind: 

1. Primare Kanten: Eine primare Kante bildet jeweils die allgemeinste Erklarung fur das Zustandekornmen einer 
Zustandsbeschreibung. Jeder Zustandsknoten hat hochstens eine hinfuhrende Primarkante. Folglich spannen die 
Primarkanten einen Baum auf, der das Zustandekornmen seiner Blattknoten vollstandig erklart, den Primarbaum 

2. Sekundare Kanten: Sekundare Kanten markieren alternative Zustandsubergange, die zumindest eine Teilmenge 
der Zustandsbeschreibung ihres Zielknotens erzeugt haben konnten. Knoten konnen mehrere hinfuhrende Sekun- 
darknoten aufweisen. 

! 

An Knotentypen gibt es: 

1. Blattknoten: Blattknoten sind die Blatter des Primarbaums. Sie tragen die Zustandsbeschreibungen, die noch 
nicht weiterentwickelt worden sind. 

2. Entwickelte Knoten: Knoten des Entwicklungsgraphen, die mindestens einen uber eine Primar- oder Sekundar- 
kante erreichbaren Nachfolger aufweisen. Folgende Unterarten entwickelter Knoten existieren: 

(a) Als "unsicher" markierte Knoten tragen Zustandsbeschreibungen, die nur vielleicht von der IUT durchlau- 
fen wurden. 

(b) Unmarkierte Knoten sind noch nicht als unsicher markiert. Dies ist der "Urzustand" eines entwickelten 
Knotens, Anderungen kommen nur in der Richtung unmarkiert zu unsicher vor. Weiter unten wird ausgefiihrt, 
wann der SchluB gultig ist, daB die zugehorige Zustandsbeschreibung sicher durchlaufen wurde. 

35 AuBerdem gibt es stets zwei ausgezeichnete Knotenpositionen im Primarbaum, die als u-Position und v-Position be- 
zeichnet werden. Fur die Definition dies er Positionen wird im folgenden von "fruheren" und "spateren" Knoten gespro- 
chen, wobei die Kanten von fruheren zu spateren verlaufen. 

- u markiert den friihesten Knoten, von dem mehr als eine Kante ausgeht. 
40 : - v markiert den friihesten Knoten, von dem mehr als eine Primarkante ausgeht. 

Daraus folgt u < v im Sinne des "Fruher"-Begrin c s. Bis zur Position u liegt bereits eine reine Zustandssequenz vor, 
zwischen u und v bilden nur noch die Primarkanten eine verzweigungsfreie Sequenz. AuBerdem gilt die Invariante, daB 
alle Knoten bis einschlieBlich v hochstens einen Vorganger haben, mit anderen Worten keine hinfuhrenden Sekundarkan- 
45 ten aufweisen. 

Figur A.20 illustriert die Pfad-Datenstruktur des FollowSM-Systems zur Verwaltung des Suchgraphen anhand eines 
Beispiels mit zwei Operationen. Alle Kanten verlaufen von links nach rechts. Graph a zeigt die Ausgangssituation. Als 
erste Operation wird eine Pfadvereinigung aufgrund eines von Knoten 1 erreichbaren Spezialfalis von Knoten 2 durch- 
. gefuhrt (b). Der primare Pfad zu 1 wird daher von rechts nach links in sekundare Kanten transformiert, bis hinunter zurn 

50 v-Knoten, weil dieser erstrnals weitere Primarnachfolger aufweist. Die zweite Operation ist das Loschen des Knotens 3, 
nachdem dessen Entwicklung ohne Folgezustande in einer Sackgasse endet (c). Alle inneren Knoten ohne Nachfolger 
mussen entfernt werden, wobei der in c gezeigte Graph ubrigbleibt. Weil auch die letzte. alternative ausgehende Primar- 
kante vom v-Knoten geloscht wurde, ruckt v zwei Positionen nach rechts. Nun muB aber noch die v-Invariante wieder- 
hergestellt werden, indem die Sekundarpfade zurn neuen v- und dessen Vorganger knoten geloscht werden, wobei ein 

55 weiterer Knoten wegfallt (d), Dabei werden alle Knoten in den Maschen aus dem Primar- und den geloschten Sekundar- 
pfaden als "unsicher" markiert, weil die geloschten Sekundarpfade ja mogliche Alternativerklarungen darstellen. An- 
schlieBend riickt die u-Position noch bis zur neuen ersten Sekundarabzweigung vor. 

Alle Knoten ab u nach links stellen die Zustandssequenz dar, die ausgegeben werden soli. Nicht als "unsicher" mar- 
kierte Knoten sind hier mit Sicherheit von der IUT durchlaufen. Zwischen u und v stehen zwar schon die Knoten der ge- 

60 suchten Sequenz fest, aber noch nicht das Unsicherheitsattribut. Dies erkennt man im Teilbild d von Figur A.20: Das end- 
gultige Unsicherheitsattribut am Nachfolger des u-Knotens hangt davon ab, ob der untere Blattknoten erfolgreich wei- 
terentwickelt werden kann (geschlossene Sekundarmasche) oder nicht (Sekundarpfad wird geloscht). 

Figur A.21 stellt die Struktur des Analyseberichts Zustandsfolge fur den Fall einer Synchronisationsphase dar. Man er- 
kennt die beobachteten PDU-Typen, die rekonstruierte Transitionsfolge und die Entwicklung dreier unsicherheitsbehaf- 

65 teter Zustandsvariablen, namlich des Basiszustands, eines Zeitgebers und eines Sequenzzahlers. Nach nur sieben PDUs 
sind die Werte dieser drei Variablen sicher ermittelt. 
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Fehierereignisse mit Vorgeschichte 

Wenn die beobachtete.Kommunikation ann an Fehlersituationen ist, dann wirkt auch die Lange der relinearisierten 
Zustandsentwicklung stbrend. Daher kennt FollowSM einen Analysebericht, der sich auf die Fehierereignisse der beob- 
achteten Kommunikation beschrankt, wobei jedes Fehlerereignis mit dem unmittelbar vorausgegangenen Teilstuck der 5 
Zustandsfolge gemaB dem vorigen Abschnitt in einer konfigurierbaren Anzahl von Entwicklungsschritten beschrieben 
wird. 

Die Fehierereignisse selbst werden mit einer protokollunabhangig automatisch generierten Meldung beschrieben, die 
davon abhangt, an welcher Stelle der Prozedur Entwickle die Zustandsentwicklung des letzten vorhandenen Blattzu- 
stands erfolglos abgebrochen wurde. Diese Stellen sind im Algorithmus in Abschnitt 3.3.2 als Fall 1 bis Fall 7 gekenn- 10 
zeichnet und fuhren sinngemaG zu folgenden Meldungen: 

Fall 1: Die aktivierte unmittelbare Transition ... hat gemaB der beobachteten Ausgaben nicht geschaltet. 

Fall 2: Die aktivierte zeitabhangige und aufgrund des Zeitgeberablaufs verspatete Transition ... hat gemaB der beob- 
achteten Ausgaben nicht geschaltet. 

Fall 3: Die eingabeabhangige Transition ... hat trotz passender Eingabe nicht geschaltet. 15 

Fall 4: Die aktivierte zeitabhangige Transition . . . blockiert alle alternativen Transitionen, weil Zeitgeber . . . abgelau- 
fen ist. 

Fall 5: Es ist keine Transition aktiviert, die die zur Zeit . . . beobachtete Ausgabe-PDU . . . erzeugen konnte. 

Fall 6: Es ist keine Transition aktiviert, die die zur Zeit . . . beobachtete Eingabe-PDU . . . lesen konnte. 

Fall 7: Keine der aktivierten Transitionen, die die zur Zeit . . . beobachtete Eingabe-PDU . . lesen konnten, hat gemaB 20 
der beobachteten Ausgaben geschaltet. 

Naturlich sa'gt die jeweilige Meldung nur etwas iiber das Scheitern der letzten Zustandsexpansion aus. Eine tatsachli- 
che Fehlfunktion der IUT, die zu einer Inkonsistenz zwischen ihrem internen Zustand und ihrem Verhalten gefuhrt hat, 
kann sich jedoch schon fruher ereignet haben, sowohl bei einem Vorganger der Zustandsbeschreibung, auf der die Mel- 
dung basiert, als auch innerhalb eines Altemativzweigs. Zuverlassigere Angaben zur Fehlerursache sind anhand der Pro- 25 
tokollspezifikation nicht ableitbar, weil ja keinerlei Informationen zur Implementierung der IUT und zu ihren internen 
Zustanden wahrend der Spurerzeugung zugrundegelegt werden. 

Hinzu kommen noch Kodierungsfehler in Ausgabe-PDUs, die vom Dekoder gemeldet werden. 

Fehlerklassifikation und Schatzung des Lasteinflusses 30 

In Abschnitt 2.2.1 wurde erlautert, warum aiis Anwendersicht eine automatische Zusammenfassung der Fehierereig- 
nisse gemaB vorigem Abschnitt zu Fehlerklassen sehr wunschenswert ist. Diese Zusammenfassung - oder Fehlerklassi- 
fikation - benotigt eine Ahnlichkeitsregel, die angibt, wann genau zwei Fehierereignisse derselben Fehlerklasse zuge- 
rechnet werden sollen, weil sie wahrscheinlich eine gemeinsame Ursache haben - z. B. einen Implementierungsfehler in 35 
der IUT oder eine bestimmte Uberlastsituation. 

Fur FollowSM gehoren zwei Fehierereignisse derselben Klasse an, wenn sie ubereinstirnmen, 



- bei Kodierungsfehlern, die der Dekoder feststellt, im Typ der betroffenen PDU und der Fehlermeldung des De- 
koders, bzw. 

- bei Verhaltensfehlern, im Abbruchfall (Falle 1 bis 7 oben) und der Sequenz der letzten n erfolgreichen Transitio- 
nen in der relinearisierten Zustandsentwicklung. 



- im Falle von Kodierungsfehlern durch den PDU-Typ, 

- im Falle von Verhaltensfehlern durch die charakteristische n-elementige Transitionssequenz 
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Die Schwelle n.ist vom Anwender konfigurierbar. 

Weiteren AufschluB iiber mogliche Fehlerursachen erlaubt die Unterscheidung zwischen permanenten, transienten 45 
und intennittierenden Fehlem. Zu diesem Zweck miissen neben den Fehlerereignissen jeder Fehlerklasse auch die zuge- 
horigen Gutfalle identifiziert werden. Das sind Ereignisse, in denen die der Fehlerklasse entsprechende Kommunikati- 
onssituation yorliegt, ohne daB das jeweilige Fehlverhalten aufgetreten ist. Die Kommunikationssituation der Fehler- 
klasse definiert sich 
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der Fehlerklasse. Mit Hilfe der Anzahl e c der Fehlerfalle, der Anzahl g c der Gutfalle und der Anzahl s c der Eintritte der 
Kommunikationssituation der Fehlerklasse c in einem Zeitraum ergibt sich ihre Fehlerquote q c zu 55 

def e c e c 

?c = - = ; , (3.9) 

Implementierungsfehler werden vorwiegend permanente Fehler hervorrufen, bei denen die Fehlerquote nahe bei 1 60 
liegt. Uberlastsituationen und Storsignale auf dem Medium dagegen werden vorwiegend zu transienten und intermittie- 
renden Fehiern fuhren, fur deren Fehlerklassen sowohl Fehler- als auch Gutfalle auftreten. 

Lastabhangige Fehler, die durch uberhohte Kommunikationslast begunstigt oder verursacht werden, sind besonders 
haufige Problemquellen in realen Kommunikationssystemen. Daher kann FollowSM fur jede Fehlerklasse die Lastkor- 
relation der Fehlerquote berechnen. Dazu wird die Beobachtungszeit in Intervalie eingeteilt und fur jedes Interval! i und 65 
jede Fehlerklasse c die Fehlerquote q l c sowie die Last 1> berechnet. I 1 ist die Anzahl der PDUs, die derjenigen OSI-Proto- 
kollschicht ziigeordnet wurden, aus der die Fehlerklasse c stammt, und deren Beobachtungszeitstempel im Intervall i lie- 
gen. Die Lange der Zeitintervalle fur die Korrelationsbestimmung kann vom Anwender konfiguriert werden. Die Last- 
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jjt, iyy zy 100 a i 

korrelation ldc ist der Korrelationskoeffizient der Paare (li, q' c ) von Last und Fehlerquote, bei m Intervallen: 



W c = 



E 

def t=l \ j=l / \ J = l 



(3.10) 



Im Analysebericht der Fehierklassen werden keinerlei ereignisbezogene Informationen mehr ausgegeben. Stattdessen 
enthalt der Bericht pro aufgetretener Fehlerklasse die im folgenden noch einmal zusammengefaBten Angaben: 

- Beschreibung der Fehlerklasse durch Fehlerart und ggf. charakbristischeTransitionssequenz. 

- Anzahi der Fehlerfalle wahrend der Beobachtung. 

- Anzahi der Gutfalle wahrend der Beobachtung seit dem ersten Fehlerfall. 

- Fehlerauftxittsquote als Verhaltnis aus Fehler- zu Fehler- und Gutf alien seit dem ersten Fehlerfall. 

- Lastkorrelation der Fehlerquote. 

- Anzahi der Zeitintervalle, die in die Berechnung der Lastkorrelation eingegangen sind. 

Alles in allemliefert die statistische Fehlerauswertung ein kompaktes, leichter interpretierbares Ergebriisprotokoll, das 
nach Ursachen, nicht nach Symptomen strukturiert ist, 

Protokollparameter-Schatzung 

Die in Abschnitt 2.2.1 beschriebene Schatzung von Protokollparametern erfolgt mit Hilfe einer pro OTEFSM-Klasse 
vorhandenen protokollspezifischen Prozedur, die den Transitionstyp und den Ausgangs- und Endzustand jedes Zustands- 
iibergangs verarbeitet, der in der relinearisierten Zustandsentwicklung sicher stattgefunden hat. Welche Riickschliisse 
auf Protokollparameter moglich sind, hangt vom Protokoll ab und laBt sich nicht aus einer Protokollspezifikation ablei- 
ten, die alle denkbaren Parametrisierungen zulassen muB, urn keine unzutreffenden Meldungen iiber ProtokollverstoBe 
zu produzieren. 

Fine prinzipielle Alternative zur Ermittlung von Protokollparametern besteht darin, eine Zustandsvariable mit dem 
Wertebereich der moglichen Werte eines Parameters einzufuhren und die Verhaltensentscheidungen im OTEFSM-Mo- 
dell vom Wert dieser Zustandsvariable abhangig zu machen, der nie explizit geandert wird. Im Rahmen der unsicher- 
heitsbehafteten Spuranalyse wird diese Parametervariable als "ungewiB" initialisiert. Wenn sie spater auf einen sicheren 
Wert eingeschrankt wird, ist nur dieser Wert des Parameters mit dem beobachteten Verhalten vertraglich. Dieses Vorge- 
hen ist jederzeit beim FoliowSM-System umsetzbar, weil keinerlei spezielle FunktionaUtat benotigt wird. Allerdings 
fuhrt es dazu, daB initial alle Verhaltenspfade fur die verschiedenen Parameterwerte paraUel untersucht werden. Dies ist 
im allgemein'en ineffizienter als der zusatzlich verwirklichte Ansatz iiber eine besondere Parameter-Ermittlungsprozedur, 
in der protokollglobales Wissen uber die Auswirkungen des Parameters ausgenutzt werden kann. 

Ein Sonderfall fur die Parameterschatzung ist die Schatzung der tatsachlichen Zeitgeberlaufzeiten, die die IUT ver- 
wendet. Denn diese Zeiten sind anhand der Beobachtung nicht exakt meBbar und bereits im OTEFSM-Modell mit Unsi- 
cherheit ausdriickenden Zeitintervallen dargestellt (vgL Abschnitt 3.2.1). Der geschilderte Alternativansatz iiber eine 
normale Zustandsvariable ist zur Ermittlung der "tatsachlichen n Zeitgeberlaufzeiten daher ungeeignet. Auf der anderen 
Seite wird in relevanten Protokollen bei diesen Zeiten besonders hauftg auf verbindliche numerische Fesdegungen im 
Protokolistandard verzichtet, urn den Einsatzspielraum nicht einzuengen. Man denke z. B. an den Vergleich einer Daten- 
iibertragung iiber einige Meter Glasfaserleitung mit einer Satellitenfunkstrecke. Bei letzterer fuhrt die Signallaufzeit zu 
minimalen Antwortzeiten in der GroBenordnung einer halben Sekunde. 

Jedes zeitgeberabhangige Schaltereignis liefert eine minimale und eine maximale tatsachliche Zeitgeberlaufzeit, t^ 
und t max . Dazu werden zunachst die fniheste und spateste Ausfuhrungszeit to,.ti der Transition, die den verantwortlichen 
Zeitgeber gestartet hat, und die fniheste und spateste Schaltzeit t* 0 , t\ der ausgelosten zeitabhangigen Transition ermittelt. 
AuBerdem sind die von der startenden Transition eingestellte Minimal- und Maximailaufzeit q 0 , By bekannt. Somit gilt: 

t rain = max(t' 0 - t'r, 0 O } 
t m ax = rnin(t , 1 -t , 0 ;e l } 

Figur A.22 verdeutlicht die Herkunft dieser Werte noch einmal in grafischer Form. 

Mit Hilfe dieser Paare (tmini, tmaxi) ermittelt der FollowSM-Analysator einige statistische Kennzahlen, um die tat- 
sachliche Zeitgeberlaufzeit in der IUT zu charakterisieren. Im folgenden steht k fur die Anzahi der beobachteten Zeitge- 
berablaufe: 

- Umfang k der beobachteten Stichprobe. 

- Globales Minimum t Min der vorkommenden Zeiten: 

t=l. .k 
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- Globales Maximum t Max der vorkommenden Zeiten, analog. 

- Standardabweichung Gt Min der ininimalen Laufeeiten: 



\ 



/ ^ I min ^ / y r min 
i=l \ j=i 



- Standardabweichung 0t raax der maximalen Laufzeiten, analog. 

- Mittelwert t als Schatzwert der Laufzeit uber alle Intervalle: 

k 



C max ' ^min ^ 



- Mittlere Breite At der rekonstruierten Laufzeitintervalle: 
k 



Diese Kennzahlen vermitteln einen umfassenden Eindruck vom Zustandekommen der Laufzeitschatzung t. So zeigt 
z. B. ein Vergleich der Standardabweichungen der Minimal- bzw. Maximalzeiten mit der mittleren Intervallbreite, ob 
eher eine ungenaue Schatzung vorliegt (breite Intervalle) oder die tatsachliche Laufzeit stark schwankt (hohe Standard- 
abweichung). 



3.3 .7 Arbeitsersparnis fur den Anwender 

Der mogliche Nutzen der nachgeschalteten Analysen bei der BerichtersteUung laBt sich abschatzen, wenn man die ex- 
emplarischen Berichtslangen in Figur A. 19 betrachtet: Obwohl die Auflistung aller Suchschritte fur den Anwender we- 
nig brauchbar ist, stellt sie dennoch eine Beschreibung genau derjenigen "Uberlegungen" dar, die auch ein menschlicher 
Protokollexperte anstellen muBte, um rriit vergleichbarer Zuverlassigkeit eine Aussage iiber die Protokollkonformitat der 
IUT treffen zu konnen. Derjenige Analysebericht, der nur noch die beobachteten Fehlerklassen mit statistischer Ursa- 
cheneingrenzung beinhaltet, stellt dagegen eine sehr kompakte und vollstandige Charakterisierung des IUT Verhaltens 
dar und ist um zwei GroBenordnungen kurzer. Dieser GroBenvergleich liefert damit einen brauchbaren Anhaltspunkt fur 
die Aufwandsersparnis, die das FollowSM-Verfahren gegeniiber dermanuellen Interpretation der Ausgaben eines kon- 
ventionellen Protokollmonitors erzielt. 

3.3.8 Implementierung 

Der FollowSM-Prototyp wurde in C++ implementiert, um einen objektorientierten Entwurf - mit generischen Daten- 
typen, um protokollunabhangige Konzepte mit protokollspezifischen Einzelheiten instantiieren zu konnen - mit zufrie- 
denstellender Effizienz und guter Portierbarkeit auf alle ublichen Plattformen zu kombihieren. Da der GNU- C Compiler 
gcc verwendet wurde, ist eine unmittelbare Verwendung der Software auf alien Systemen sichergestellt, wo der gcc ver- 
fugbar ist. Eine einfache grafische Benutzerschnittstelle fur das X- Window-System ist als separates Programm in TcJ/Tk 
realisiert. Figur A.23 zeigt ein Beispiel fiir die Bildscbirmanzeige der Oberflache. 

Datenmodell 

Figur A.24 gibt einen Uberblick iiber das Datenmodell, auf dem der objektorientierte Prograrnmentwurf basiert. Die 
Darstellung lehnt sich an an Entitaten-Relauonen-Diagramme aus der Datenbankmodellierung (nach [Che76]). Die 
Rechtecke reprasentieren Klassen, wahrend die Rauten Relationen beschreiben. Punkte an Rauten markierendie n-Seite 
einer 1: n-Beziehung, Pfeile symbolisieren Ableitung (Vererbung), in Pfeiirichtung gelesen als "ist abgeleitet von". Die 
Namen der protokollspezifischen Klassen (gestrichelte Rechtecke) sind mit XXX als Platzhalter fur. die Protokoll- bzw. 
Schichtbezeichnungen versehen. Alle Klassen mit durchgezogenen Rechtecken bilden den protokollunabhangigen "Bi- 
bliotheks"-Anteil des FollowSM-Sys terns. 

Man erkennt, daB die Zustandsbeschreibungen (Klasse State) nicht nur modulweise, sondern auch schichtweise orga- 
nisiert sind (Klassen Module und Layer). Die PDUs (Klasse PDU) werden iiber eine spezielle Speicherstruktur mit Hilfe 
der Klasse Forget verwaltet. Sie werden gelesen, wann immer die Entwickle-Prozedur eine neue PDU anfordert, jedoch 
keine PDU fiir den gerade bearbeiteten Modultyp im Zwischenspeicher (Klasse PduCache) mehr vorhanden ist. Dabei 
konnen - quasi zwischendurch - auch PDUs zu und von anderen Modulen auftreten, die nebenbei dekodiert und im Zwi- 
schenspeicher abgelegt werden mussen. Trotzdem dient der Zwischenspeicher nur dem Ausgleich von Ausgabeverzoge- 
rungen und solchen Verschrankungen zwischen den PDU-Stromen verschiedener Module und Schichten. Wenn der Ana- 
lysefortschritt alter Module einen Zeitpunkt uberschritten hat, kann der Zwischenspeicher alle alteren PDUs bereits wie- 
der vergessen. Daher stammt der Name der Speicherverwaltungsklasse Forget. Wenn mehrere Schichten gleichzeitig 
analysiert werden, mussen die PDUs einer hoheren Schicht aus den Datenfeldem der Schicht darunter extrahiert werden. 
Diese Aufgabe hat bei FollowSM der Dekoder der unteren Schicht zu erfullen, der zu diesem Zweck rudimentare Proto- 
kollfunktionalitat enthalten muB, um beispielsweise Paketwiederholungen von erstmals gesendeten Daten zu unterschei- 
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den oder urn die korrekte Nachrichtensequenz fur die hohere Schicht wiederherzustellen. Die OTEFSM- Module konnen 
diese Aufgabe nicht erfullen, weil ihre Zustandsubergange im ailgerneinen unsicher, d. h. spekulativ ausgefuhrt werden. 
Figur A.25 zeigt die Aufrufrelation der an der PDU-Verwaltung innerhalb eines Protokollstapels beteiligten Klassen und 
Methoden. Der dargestellte Stapel umfaBt die Protokolle Q.2110 und Q.2931 als Schichten 2 und 3 der Signalisierung am 
UNI (user-network Interface, Teilnehmer-Netz-SchniUs telle) des B-ISDN, soli aber gleichermaBen als Beispiel fur den 
ailgerneinen Fall dienen. Im Diagramm sind die Aufrufeingange der Methoden mit einem schwarzen Dreieck gekenn- 
zeichnet, die Ausgange befinden sich jeweils gegeniiber. Waagerechte Linien direkt am Ein- oder Ausgang einer Me- 
thode werden nur von dieser Methode selbst verwendet. 

Transitionen 

Jede Transition der OTEFSM wird bei FoUowSM als ein Satz von Methoden der zugehorigen Zustandsklasse (Sta- 
teXXX im Datenmodell) beschrieben. Diese Methoden sind: 

- fPre(ipdu) testet die Vorbedingung der Transition, das sind die Zustandsbedingung und die Anforderung an eine 
evtl. erforderliche Eingabe-PDU ipdu. Zu diesem Test gehort die Berechnung derjenigen Zustandsteilmenge, fur die 
die Vorbedingung eriullt ist. 

- fNPre(ipdu) bildet die Negation der Vorbedingung. Diese scheinbare Redundanz ruhrt daher, daB fur unsicher- 
heitsbehaftete Zustandsbeschreibungen ja und nein durchaus gleichzeitig gelten kann, wenn auch nicht fur diesel- 
ben einzelnen Elementarzustande (vgl. Abschnitt 3.3.1). AuBerdem konnen unterschiedliche Einschrankungen fur 
die Reprasentierbarkeit der Ja- und der Nein-Falle gelten. 

- fPost(ipdu, opdu) ist die Naehbedingung der Transition, so genannt, weil.sie die Forderungen an eine Ausgabe- 
PDU opdu der Transition untersucht, nachdern die Transitinn als schaltfahig bzw. schaltpflichtig festgestellt wurde. 
Sie wird nicht als Negation benotigt, weil ihr Ergebnis keinen EinfluB auf alternative Transitionen hat, wie das bei 
der Vorbedingung der Fall ist. 

- fTrans(ipdu, opdu, tO, tl) ist die Zustandsuberfuhrungsfunktion der Transition, wenn sie zwischen tO und tl 
schaltet und dabei die Eingabe ipdu konsumiert, die Ausgabe opdu produziert. 

Die Zustandsanderungen sind auch bei den Bedingungen als direkte Anderung des Zustandsobjekts implementiert, fur 
das die Methoden aufgerufen werden. Aus diesem Grundfiihren samtliche Operationen auf Zustandsbeschreibungen 
uber ein Kennzeichen dariiber Buch, ob eine Anderung der Zustandsbeschreibung aufgetreten ist, damit sich der Aufru- 
fer urn die Aufbewahrung und Wiederherstellung noch benotigter Zustandsinformationen kurnmem kann. 

Urn ein Gefuhl fur die praktische Realisierung der Transitionsdefinitionen zu geben, zeigt Figur A.26 ein Beispiel fur 
den C++-Programmtext einer Transition aus dem Q.2110-Prptokoll. Die vereinfachte Notation der Methoden und der lo- 
gischen Operatoren wird durch den Einsatz von Praprozessormakros erreicht. 

3.4 Sparanalyse anhand von SDL-Spezifikationen 

Die bishereigen Abschnitte dieses Kapitels sind nicht auf die Frage eingegangen, wie die OTEFSM-Spezifikationen 
zur Sparanalyse aus einer existierenden formalen Spezifikation des Zielprotokolls abgeleitet werden kann (vgl. Abschnitt 
3.2). Dieser Schritt ist Gegenstand dieses Abschnitts, der eine Zusatzkomponente in Form eines Ubersetzers beschreibt, 
der eine OTEFSM-Spezifikation in der in Figur A.26 angedeuteten Form aus einer Protokollspezifikation in der Sprache 
SDL (vgl. Abschnitt 2. 1 .2) generiert. 

Die in diesem Abschnitt beschriebene Losung wurde in [Pil97] ausgearbeitet. 

3.4.1 Motivation 

Anhand von Transitionsdefinitionen wie in Figur A.26 sieht man leicht ein, daB der manuelle Entwurf einer OTEFSM 
zur Sparanalyse sowohl aufwendig als auch fehleranfallig ist. Der Entwurf einer OTEFSM-Spezifikation fur das Ab- 
schnittssicherungsprotokoll der Breitband-ISDN-Signalisierung, SSCOP nach ITU Q.2110 [IT94a], auf Grundlage der 
SDL-Spezifikation im Standarddokument erforderte ungefahr einen Personenmonat an Entwicklungsarbeit Eine Ver- 
wendung von SDL-Spezifikationen, urn OTEFSM-Spezifikationen fur FoUowSM automatisch zu generieren, ist daher 
ein logischer und von der Idee formaler Spezifikationstechniken her geradezu zwirigender Weg, urn die Korrektheit kon- 
kreter FoUowSM- Analysatoren sicherzustellen und ihre Entwicklungszeit zu minimieren. 

3.4.2 Problemanalyse 

Zunachst soil untersucht werden, ob und inwiefem ein vollstandiger und korrekter FollowSM-Analysator aus einer- 
SDL-Spezifikation abgeleitet werden kann. 
60 

Berechenbarkeit der Sparanalyse 

Leider ist es, wie in Abschnitt 3.1.2 gezeigt wurde, nicht moglich, die Sparanalyse fur beliebige immerhin terminie- 
rende SDL-Spezifikationen zu berechnen. Aus Theorem 2 folgt daher, daB die automatische Ableitung einer aquivalen- 
65 ten OTEFSM aus einer SDL-Spezifikation nicht im ailgerneinen berechenbar ist. Die techhische Erklarung hierfiir be- 
steht darin, daB gewisse SDL-Konstrukte im OTEFSM- Kalkul nicht modellierbar sind. 
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Besonderheiten der OTEFSM 



^ u iS rund der In Abschnitt 2.2.1 geschilderten besonderen Anforderungen an einen realen Spuranalysator verfiigt die 
OTEFSM uber einige Modellierungsaspekte, die uber den Modellierungsumfang von SDL hinausgehen. Diese Aspekte 
die vor allem Zeitbedmgungen betreffen, lassen sich nicht aus einer SDL-Spezifikation gewinnen 

Figur A.27 stellt die Relation der mit SDL bzw. einer Anzahl paralleler OTEFSMs modellierbaren Mengen von Syste- 
men grafisch dar. Tabelle 3.3 nennt einige Aspekte der Modellierung, die eines der Kalkiile dem jeweils anderen voraus- 
hat. 



hat. 

Informelle Anteile 



In vielen praktisch verfugbaren Protokollstandards sind SDL-Spezifikationen mit informeUen Anteilen vorhanden So 
kommt z. B. in der SDL-Spezifikation zum Protokoll Q.2931 der ITU [IT94b] wiederholt die • , implementierungsabhan- 
gige Prozedur Check Message vor, deren Aufgabe nur im natiirlichsprachlichen Teil des Standards naher beschrieben 
wird. Weitere Details werden nur als Kommentare in der Spezifikation vermerkt. Zwar stellen derart unvoUstandige Spe- 
zifikationen eine Entscheidung des SDL-Anwenders dar und sind keineswegs in der Ausdrucksfahigkeit von SDL be- 

*ES*:L In dCr PfaXiS iSt ab6r mit SOlchen S Pezifikationen rechnen, die eine voUstandig formale Ableitune einer 
OIEFSM von vornherein ausschlieBen.. 

3.4.3 Losungsansatz 

Aus diesen Griinden wurde ein Ubersetzer entworfen, der aus einer SDL-Spezifikation, fur die gewisse Einschrankun- 
gen hinsichtlich des venvendeten Sprachumf angs gelten, ein Geriist fur die OTEFSM-Spezifikation des Spuranalysators 
erzeugt. Die in Abschnitt 3.4.2 genannten Lucken miissen zwangslaufig durch eine anschheBende manuelle Nachbear- 
beitung dieses Geriistes geschlossen werden. Trotzdem bedeutet der SDL- Ubersetzer eine erhebliche Arbeitsersparnis 
well sich die Struktur der OTEFSM-Spezifikation direkt aus den SDL-Transitionen ableiten laBt. Der zeilenmaBie um- 
fangreichste und vor allem monotonste Teil des OTEFSM-Entwurfs bleibt dem Entwickler erspart. 

Einschrankungen fur die Spezifikation 

Eingabe des Ubersetzers ist eine Systemspezifikation in SDL/PR. Die folgende Aufiistung nennt die wesentlichen 
SDL-Konstrukte, die bei der OTEFSM- Ableitung nicht behandelt werden konnen: 

- Explizite ProzeBerzeugung mit Create. OTEFSM-Module werden impfizit erzeugt, sobald zugehorige PDUs auf- 
treten. ExpUzite ProzeBerzeugung wurde gegen die Unabhangigkeitspramisse (vgl. Abschnitt 3.3 4) verstofien 

- Zugnff auf den Zustand anderer Prozesse mit View-Ausdriicken sowie exportierten und importierten Variablen 
Auch dies laBt die Unabhangigkeitspramisse nicht zu. 

- Remote-Procedure-Input-Transitionen, bei denen eine Prozedur in einem anderen ProzeB aufgerufen wird ver- 
bieten sich aus demselben Grund. 

- Save-Operationen, bei denen bestimmte Eingabesignaltypen zur spateren Verarbeitung aufbewahrt werden urn 
zunachst andere Signale in der Warteschlange behandeln zu konnen, sind im OTEFSM-Modell nicht darstellbar 
Dort mussen alle moghchen Eingaben jederzeit verarbeitet werden konnen, was zu Anderuneen im Transitionsent- 
wurffuhrt. 

- In SDL konnen Prozesse in mehrere Service-Bereiche mit interner Kommunikation auf geteilt werden Dies wi- 
derspncht dem Em-Automaten-Paradigma der OTEFSM mit voUstandig beobachtbaren Ein- und Ausgaben 

- Direkt oder indirekt rekursive Prozeduren sind nicht zulassig, weil Prozeduraufrufe wegen der Besonderheiten 
der unsicherheitsbehafteten Operations- und Pradikatauswertung durch Expansion des Prozedurrumpfes iibersetzt 
werden. 

- Die iibersetzbaren arithmetischen Operationen sind durch die vorhandenen Operationen auf Unsicherheit model- 
herenden Datentypen begrenzt (vgl. Abschnitt 3.3.1). Hier sind bei Bedarf Erweiterungen moghch. 

Im aUgemeinsten Fall kann eine kommunizierende Instanz in SDL so mit Hilfe mehrerer SDL-Prozesse spezifiziert 
sein, daB eine Ubertragung in das OTEFSM-Modell fur FollowSM einen neuen EntwurfsprozeB erfordert. Dieser ist aus 
Berechenbarkeitsgrunden nicht automatisierbar. Als praktische Losung wird innerhalb der SDL-Spezifikation ein Pro- 
zeBtyp gesucht, der fur die Abwicklung der Kommunikation hinsichtlich eines in sich abgeschlossenen PDU-Stroms ver- 
antworthch ist und daher einen OTEFSM-Modultyp fur den Folio wSM-Analysator liefert. Diese Losung fiihrt direkt 
zum Erfolg, wenn die Spezifikation das ProzeBkonzept von SDL benutzt, urn die PDUs modellierenden SDL-Signale 
vor i einem zentralen VerteilerprozeB V erzeugen und empfangen zu lassen, der sie weitgehend unverandert an diejenigen 
SDL-Prozesse R weiterleitet,. die fur die einzelnen virtuellen Verbindungen zustandig sind. In diesem Szcnario werden 
die P; zu OTEFSM-Modulen, wahrend vom ProzeB V voUstandig abstrahiert werden kann. Dieser Fall gilt in Reinform 
beispielsweise fur das ITU-Protokoll Q.2931. Die ProzeBstruktur der SDL-Spezifikation dieses Protokolls ist in Figur 
A.28 wiedergegeben. Die grau unterlegten Prozesse werden zu OTEFSM-Modulen des Analysators. 

Fur die Information, welche Signale PDUs reprasentieren und welche Prozesse zu OTEFSM-Modulen zu iibersetzen 
sind, erwartet der Ubersetzer die folgenden drei Signallistendeklarationen in der Spezifikation. In Bezug auf die Prozesse 
ist diese Deklaration nicht semantisch korrekt im Sinne von SDL, was bei dieser Spezialanwendung aber nicht storf 
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system <name>; 

signallist PROCESSES = <name> l ...,<name>; 
signallist INPDU = <name>,...,<name>; 
signallist OUTPDU = <name> <name>; 



10 



15 



20 



50 



endsystem; 



Ubersetzung der Transit! onen 



Nach MaBgabe der Semantik von SDL bzw. des OTEFSM-Modells konnen die SDL-Transitionen direkt in OTEFSM- 
Transitionen uberfuhrt werden. Allerdings gelten strengere Regeln fur den Aufbau von OTEFSM-Transitionen, so daB 
eine SDL-Transition haufig in mehrere OTEFSM-Transitionen zerlegt werden muB. Die strengeren Regeln fiir 
OTEFSM-Transitionen sind insbesondere: 



- Hochstens eine Ein- und Ausgabe pro Transition. 

- Hochstens ein Zeitgeber fair die Auslosung einer zeitabhangigen Transition. 

- Zustandsabhangige Bedingungen miissen in der Vorbedingung der Transition zusammengefaBt sein, in der Zu- 
standsiiberfuhrungsfunktion durfen sie nicht vorkommen. 

25 - Keine Sprunganweisungen und Mar ken. 

Im folgenden werden die erforderlichen Transformationsregeln fur SDL-Transitionen mit Hilfe von SDL/GR-Dia- 
grammen dargestellt. Resultierende SDL-Transitionen, die die obigen Regeln erfiilien, lassen sich anschlieBend unmit- 
telbar in OTEFSM-Transitionen umformen. 
30 Transitionen mit mehreren Stimuli, d. h. mehr als einer auslosenden Eingabe-PDU oder mehr als eineirt auslosenden 
Zeitgeber, werden in je eine eigene Transition pro Stimulus umgewandelt (Regel Rl, siehe Figur A.29). 

Transitionen mit mehreren Ausgaben miissen in ahnlicher Weise expandiert werden. Weil die dabei erzeugten neuen 
Transitionen nicht nebeneinander betrachtet, sondern nacheinander ausgefuhrt werden miissen, ist es erforderlich, neue 
Zustande einzufiihren, die die Transitionen verketten. Im OTEFSM-Modul werden die Folgetxansitionen als unmittel- 
35 bare Transitionen realisiert, die vom neuen Zwischenzustand aus unbedingt schalten (Regel R2, siehe Figur A.30). 

Verzweigungen in Transitionen miissen in die Vorbedingung vorgezogen werden, woraus pro Verzweigungsast eine ei- 
gene Transition resultiert (Regel R3, siehe Figur A.31). Dabei miissen zusatzlich die Bedingungen angepaBt werden, da- 
mit sich die Semantik nicht andert, wenn die Transition vor der Verzweigung Anderungen an einer Variablen vornimmt, 
die in der Verzweigungsbedingung vorkommt. Figur A. 32 verdeutlicht dies an einem Beispiel. 
40 Sprunge zu Sprungmarken miissen durch den Transitions text am Sprungziel ersetzt werden, da es keine Spriinge in 
OTEFSMs gibt (Regel R4, siehe Figur A.33). 

Der Fall, daB eine Verzweigung hinter einer Marke auftritt, wird gesondert behandelt, urn einerseits die Anzahl der er- 
zeugten OTEFSM-Transitionen zu reduzieren und andererseits Schleifenkonstruktidnen zu erlauben, bei denen eine 
reine Expansion der Transitionen nach den Regeln R3 und R4 nicht terminieren wiirde (Regel R5, siehe Figur A.34). Das 
45 Problem der Nichttermination tritt auf, wenn hier fur Ml und M2 dieselbe Marke auftritt. Dieser Fall einer Schleife ist 
beispielhaft in Figur A.35 dargestellt. 

Bei der Ubersetzung der Variablen der SDL-Spezifikation muB der Ubersetzer entscheiden, in welchen Fallen unsi- 
cherheitsbehaffete Zustandsvariablen der OTEFSM resultieren und wann es sich nur urn Hilfs variablen der Zustands- 
iiberfuhrung handelt. Solche Hilfsvariablen werden direkt in C++- Variablen iibersetzt, da jede unnotige VergroBerung 
der unsicherheitsbehafteten Zustandsbeschreibung einen Mehraufwand bei den zu speichernden Zustandsobjekten ver- 
ursacht. AuBerdem fuhrt eine Aufnahme in die Zustandsbeschreibung iiberflussigerweise zur Anwendung der kompli- 
zierten Auswertungsregeln fur logische Ausdriicke (vgl. Abschnitt 3.3.1) sowie zur Anwendung der Transforrnationsre- 
gel R3, sobald die Hilfs variable in einer Bedingung vorkommt. Das Kriterium fur eine nicht zustandsrelevante Hilfva- 
riable h ist, daB in jeder Transition, in der h vorkommt; das erste Auftreten von h ein schreibender Zugriff ist, also eine 
55 Zuweisung an h. 

Manuelle Nachbearbeitung 

Die bereits erorterten Liicken in der automatischen Ubersetzung miissen durch eine anschiieBende manuelle Nachbe- 
60 arbeitung des OTEFSM-Programmtextes geschlos sen werden. Darunter konnen folgende Arbeiten fallen: 

- Strukturelle Anderungen, um mehrere Prozesse der Spezifikation zusammenfassen zu konnen, wenn keine 1 : 1- 
Beziehung zwischen SDL-Prozessen und notigen OTEFS M- Modulen herstellbar ist. 

- Festlegung der Represent ationsraume der Zustandsvariablen durch Wahl der entsprechenden Datentypen. 
65 - Erganzung der konkreten Zeitgeberzeiten und Toleranzintervalle. 

- Realisierung von KompromiBlosungen unter Verzicht auf Vollstandigkeit aus Effizienzgrunden oder wenn die 
Operationen in der SDL-Spezifikation nicht mit Hilfe der vorhandenen Unsicherheit modellierenden Datentypen 
nachbildbar sind. 



44 



Da die konkrete Transfersyntax der PDUs nicht in SDL beschrieben werden kann, wird auBerdem das Dekoder-Modul 
des Analysators manuell entworfen. 

Trotz der erforderlichen manuellen Nachbearbeitung reduziert sich der Gesamtaufwand fiir die Entwicklung eines pro- 
tokollspeziftschen FollowSM-Analysators dank des SDL-Ubersetzers groBenordnungsmaBig auf ein Viertel der Zeit fiir 
den komplett manuellen Entwurf. 

3.4.4 Implernentierung 

Der Ubersetzer ist in C implementiert. Dabei wurden auBerdem ein im Rahmen des STTE-Projekts an der Berliner 
Humboldt-Universitat entwickelter SDL-Parser [Lut93] und das an der Universitat Twente entwickelte "Mets-Tool" 
Kimwitu [vE 4 ^] verwendet, das die Konstruktion und Manipulation von Baumstrukturen anhand von Quelltext kom- 
fortabel ermoglicht. 

3.5 Praktische Anwendung 

Dank einer Zusammenarbeit mit GMD-Fokus ergab sich die Moglichkeit, den FollowSM- Analysator im "Online"-Be- 
trieb einzusetzen. 

3.5.1 Versuchsaufbau 

Figur A.36 illustriert den Versuchsaufbau. Der zu messende Verkehr entsteht durch die ausfuhrbare SSCOP-Testsuite 
(executable testsuite, ETS) auf dem Protokolltester K1297 von Siemens. In der ETS werden der IUT sowohl protokoll- 
konformes Verhalten prasentiert als auch, urn die Fehlerbehandlungsprozeduren zu testen, Falle mit ProtokollverstoBen. 
Damit bietet dieser MeBaufbau einen wesentlich hoheren Uberdeckungsgrad im Hinblick auf die verifizierbaren Proto- 
kollprozeduren als irgendeine reale Kommunikationsverbindung. 

Die Gegenseite bildet eine SSCOP-Implementierung. Hier standen ein Switch von FORE sowie ein prototypischer 
Protokollstapel von CSELT zur Verfugung. Das eingezeichnete Kanal-Multiplexing per Umsetzung der VPCIs (virtual 
path connection identifier, Bezeichner der virtuellen Pfadverbindung) ist erforderlich, weil die auf dem Arbeitsplatzrech- 
ner eingesetzte ATM-Karte (SBA200 von FORE) liber nur einen Eingang verfiigt. 

3.5.2 MeBsituationen 

Da der FollowSM-Monitor zu jeder Zeit nur das korrekte Ein-/Ausgabeverhalten einer der beteiligten Instanzen unter- 
sucht, ergibt der Versuchsaufbau zwei grundsatzlich unterschiedliche MeBsituationen: 

1. Folio wSM untersucht das Verhalten des K1297. In diesem Fall sollte der Monitor genau die von der ETS inji- 
zierten Fehier als ProtokollverstoBe melden, wahrend die Testfalle mit protokollkonformem Verhalten als korrekt 
beurteilt werden sollten. 

2. FollowSM untersucht das Verhalten der SSCOP-Implementierung. In diesem Fall fuhren die injizierten Fehier 
nicht zu Fehlermeldungen von FollowSM. Statt dessen priift der Monitor die protokollkonforme Fehlerbehandlung 
seitens der Implernentierung. Sofern die Implernentierung also protokollkonform arbeitet, soDte FollowSM keiner- 
lei Fehier melden. 

AuBerdem kann das FollowSM- Resultat mit den Ergebnissen der Testsuite fur die einzelnen Testfalle verglichen 
werden: Wenn die Implernentierung fehlerhaft ist, sollten genau die von der Testsuite festgestellten VerstoBe auch 
von FollowSM erkannt werden. 

Im Hinblick auf eine sinnvolle Einsetzbarkeit im "Online M -Betrieb sind die Rechenzeiten fur die Fehleranalyse von be- 
sonderem Interesse. Daher wurde der Monitor urn die Funktion erweitert, den Anteil der inaktiven Wartezeit des Moni- 
torprozesses auf neue PDUs an der gesamten MeBdauer zu ermitteln. 

3.5.3 Ergebnisse . 

Die Ergebnisse der durchgefiihrten Experimente werden hier gegliedert in die Ergebnisse bei der Erkennung von Pro- 
tokollfehlem und die Ergebnis in Bezug auf die Rechenzeit. 

Resultate der Messungen 

Herausragend zu erwahnen ist die Messung einer Testfallsequenz mit 1$6 PDUs und ca. 34 s Dauer, in der die ETS 
zwei Falle mit "fail" bewertete, FollowSM jedoch keineriei ProtokollverstoB erkannte. Eine manuelle Analyse ergab, daB 
das vorliegende Verhalten in der Tat protokollkonform ist, die ETS in einem relativ komplizierten Fall jedoch eine fal- 
sche Akzeptanzbedingung fur einen PDU-Parameter formuliert, Dieser Versuch hat also einen Fehier in der ETS aufge- 
deckt. 

Zeitverhalten 

Der Zeitaufwand des Analyse-Algorithrnus blieb wahrend der Experimente stets unkritisch fur den "Online M -Betrieb. 
Tabelle 3.4 zeigt drei Beispiele fiir die Rechenlast der verwendeten SPARCstation 10 beim ,, Online M -Monitoring, gemes- 
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sen am Wartezeit-MeBzeit- Verhaltnis. Unter CPU-Zeit ist auBerdem die reine ProzeB-Rechenzeit bei einer "Offline n - 
Analyse der PDU-Sequenzen auf einer SPARCstation 5 vermerkt. 

Man sieht deutlich, wie die bei steigender Fehlerzahl erforderlichen Zustandsrekonstruktionen die Recherizeit verlan- 
gern. Aber selbst.der ungunstige Fall 3, wo gerade zum Erreichen einer hohen Fehlerzahl nicht die Implementierung, 
sondern der Tester "iiberpruft" wird, erzeugt keine nennenswerte Belastung des Rechners. 

Dennoch ist dieses Ergebnis relativiert zu sehen, denn es ruhrt auch daher, daB der Tester bei der Ausfiihrung der Test- 
suite sehr langsam ist und daB es in den Testfallen zwangslaufig auch Wartezeiten auf Zeitgeber gibt. Praktisch laBt sich 
eine Daumenregel von etwa 200 bis 400 analysierten PDUs pro Sekunde, je nach Fehlergehait der Kommunikation, fur 
die eingesetzte Hardware ablesen. 

Tabelle3.3 

Vergleich von SDL und dem OTEFSM-Modell anhand von Systemaspekten, die nur in einem der beiden Formalismen 

darstellbar sind 



SDL 


OTEFSM 


Abhangigkeit zwischen den Zustanden 
mehrerer Prozesse 


Toleranzbereich fiir die Beobachtungs- 
zeitpunkte der Ausgabenachrichten 


Explizite Prozefierzeugung und 
-teiminierung 


Zeitgeber rtlit Ablaufintervallen statt 
-zeitpunkten 


beliebig viele Ein- und Ausgabekanale 
des Gesamtsystems 


KompromiBentscheidung hinsichtlich der 
Modellierung von Unsicherheit 



Tabelle3.4 

Rechnerbelastung beim M Online ,, -Monitoring 



Nr. 


uberwachte 


PDUs 


Mefidauer 


Fehler 


inaktiv 


CPU-Zeit, 




Instanz 




[s] 




[%] 


Sparc5 [s] 


1 


CSELT 


187 


70 


0 


99,0 


0,44 


2 


FORE 


215 


30 


2 


97,8 


0,50 


3 


1297 


187 


60 


56 


96,9 


1,10 



Kapitel4 
Protokoll-Lernen 

Im vorangegangenen Kapitel wurde ein Verfahren vorgestellt, das auf der Grundlage einer bekannten Protokollspezi- 
fikation ein im Rahmen des Einsatzkontextes mogiichst gutes Ergebnis bei der Analyse einer zu einem beliebigen Zeit- 
punktbeobachteten Spur der Protokollabwicklung erzielt. Es wurde deutlich, daB eine voll automatisierte Ableitung des 
Spuranalysators aus einer ublichen Protokollspezifikation z. B. in SDL nicht erfolgen kann. Daher verursacht die Erzeu- 
gung eines konkreten Spuranalysators fur ein neues Zielprotokoll einen gewissen Aufwand: 

1 . Es muB eine vollstandig formale, d. h. nicht mit semantisch relevanten Kommentaren versehene SDL-Spezifika- 
tion des Zielprotokolls vorliegen. Wenn mehrere Protokollversionen oder nur eine bestimmte Protokollversion mit 
genau festgelegten PICS-Parametem auf dem beobachteten Kommunikationskanal ablaufen durfen, mussen alle 
diese Versionen bzw. die exakte Parametrisierung in der Spezifikation beschrieben sein. 

2. Aufgrund der geschilderten Berechenbarkeitsproblematik und der beschriebenen Zusatzanforderungen der pas- 
siven Spuranalyse ist eine zusatzliche manuelle Bearbeitung des OTEFSM-Modells erforderlich, das den Analysa- 
tor spezifiziert. Der Umfang und die Fehleranf alligkeit dieser Nachbearbeitung hangen vom Charakter des Zielpro- 
tokolls und seiner Spezifikation in SDL ab. Schlimmstenfalls ist hier noch echte Entwicklungsarbeit zu leisten, ge- 
folgt von den dann erforderlichen Tests der resultierenden OTEFSM-Spezifikation ("Testen des Testers"). 

Um diesen Aufwand bei der Analysatorerzeugung vollstandig zu eliminieren, wird in diesem Kapitel der zweite An- 
satz dieser Arbeit entwickelt: Ein Lernverfahren, das den Analysator nicht aus einer allgemeinen Beschreibung des Pro- 
tokolls ableitet, sondern aus Beispielen der korrekten Abwicklung des Zielprotokolls. Die vorliegende Lernaufgabe und 
der Einsatzkontext eines solchen Systems wurden bereits in Abschnitt 2.2.2 informell dargestellt 

Im nachsten Abschnitt erfolgen zunachst die Formalisierung der Lernaufgabe sowie eine Charakterisierung des Pro- 
blems und der moglichen Losungen. AnschlieBend werden die schon in Abschnitt 2.2.2 dargestellten zwei Lemphasen 
und die Anwendungsphase einzeln untersucht und Algorithmen dafiir entwickelt. Das Kapitel schlieBt mit einer Darstel- 
lung erster Ergebnisse aus der praktischen Anwendung des lemenden Spuranalysators. 
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4.1 Theoretische Fundierung 

In diesem Abschnitt werden die Kngabe und Ausgabe des Lemverfahrens formal spezifiziert und die resultierende 
Lemaufgabe hmsichdich ihrer Losbarkeit und der moglichen Qualitat des Ergebnisses untersucht. 

4.1.1 Formalisierung der Lemaufgabe 

Bereits in Abschnitt 2.2.2 wurde dargestellt, daB das ternen von Protokollregeln aus Nachrichten, die vollig undeko- 
diert in Form von Bitketten vorliegen, nicht machbar erscheint. Grand dafiir sind die starke Kontextabhangigkeit der In- 
terpretation vieler Stellen dieser Bitketten und die ausgepragt semantikorientierte Konstraktion der PDU-Syntax- Urn die 10 
PDU-Struktur als Grandlage funktionsfahiger Protokollregeln automatisch abzuleiten, miiflten bereits zahlreiche 
Aspekte derProtokoUsemantikbekannt sein, die sich aber wiederam nur aus dem Zusammenspiel der Protokollregeln er- 
schheBt. Diesen sich selbst blockierenden Kreis quasi von aufien zu durchbrechen, ware eine groBe Herausforderane fur 
zukiinftige Untersuchungen. 6 

Daher wird - im folgenden Unterabschnitt Torgabe - eine Dekodierang des Zielprotokolls in einer Art Termsprache 1 5 
vorausgesetzt, die die Grundlage fiir das Lemverfahren bildet. 

Aus ahnlichem Grand wird als Zielkonzept des Lemvorgangs kein erweiterter endbcher Automat in der iiblichen 
Form verwendet, sondem, wie in Abschnitt 2.2.2 angedeutet, nur ein endlicher Automat mit Regeln iiber die Datenfelder 
einiger aufeinanderfolgender PDUs: Der datenerweiterte Protokollzustand ist das Kondensat des Protokollentwurfs 
Seme Rekonstruktion aus emer Beobachtung ist im allgemeinen kein rein symbolischer Vorgang, sondem die Ableitung 20 
einer Entwurfsidee aus der Gesamtheit der gemachten Beobachtungen. Auch dies muB hier als interessantes Femziel ein 
gestuft bleiben. 
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Vorgabe 

Vorgegeben sei die abstrakte PDU Syntax C, des Zielprotokolls als Tripe! C, = (Zj, Z 0 , k): 

- Ii ist eine endliche Menge von Symbolen, den Typen von Eingabe-PDUs. 

- I* ist eine endliche Menge von Symbolen, den Typen von Ausgabe-PDUs. Es gilt 2j n Z 0 = 0 damit die Rich- 
tung einer PDU bereits mit dem Symbol dargestellt werden kann. ' ' 30 

- k: Z — N ist eine Funktion, die jedem PDU-Symbol die Stelligkeit seiner Attributierung zuordnet. 

Im folgenden gilt die Abkiirzung 

fiir die Gesamtmenge der Symbole. 

Die Bedeutung dieser Definition ergibt sich, sobald auf ihrer Grundlage die Menge aller PDUs n(C) eemafi der Syntax 
^ festgelegt ist: . J 

n(C) = n(E, k) = 7 |J{a}x^°) (4.1) 

Gesehrieben wird eine PDU n e 11(0 im folgenden in der Form.aCx!, . . ., x K(a) ). . 

Eingabe 

xt^! 1 ^ 6 ^^ 11 ^ rn ^ orithm ^ sind e ine Folge beobachteter PDUs, p e U(Q* y sowie eine FenstergroBe w e 
N.{0}. Das I^hrbeispiel p mufl als fehlerfreies Musterverhalten der IUT vorausgesetzt werden, da der Lernansatz la da- 
von ausgeht, daB die Regeln fur korrektes Protokollverhalten nicht vorher bekannt sind, so daB 

1 . eventuelle fehlerhaf te Verhaltensweisen der IUT innerhalb des Beispielablaufs w nicht erkannt und herauseefil- 
. tert werden konnen und 

2. keinerlei Moglichkeit besteht, Fehlerbeispiele zusatzlich zu erzeugen, weil auch dies die Kenntnis der Protokoll- 
regeln voraussetzt. 

Wenn das Lehrbeispiel dennoch - entgegen der gemachten Annahme - Fehlerfalle enthalt, werden diese unvermeid- 
hen als Teil des vermeintlich korrekten Sollverh aliens gelernt. 

Die FenstergroBe w beschreibt, iaber wie viele aufeinanderfolgende PDUs Regeln gebildet werden sollen, die die kor- 
rekte Attnbutierung der PDUs mit Datenfeldinhalten wiederspiegeln (vgl. Abschnitt 2.2.2). 

Ausgabe 

Als Ausgabe des Lemvorgangs soli ein endlicher Automat A iiber dem Alphabet Z erzeugt werden, dessen Zustande 
mit Datenfeldregeln attributiert sind. Formal ist dieser Automat ein Sextupel A = (Z, k, w, S, 5, CO): 

- Z, k, w sind die oben spezifizierte Beschreibung der PDU-Syntax und die FenstergroBe fiir die Datenfeldregeln 

- S ist die endliche Menge der Zustande des endlichen Automaten iiber den PDU-Typen. 
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- 5 Q S x I x S ist die Zustandsiibergangsrelation des endlichen Automaten uber den PDU-Typen. 
_ co: S — ► P n(Z, k) w ist die Attributierung der Zustande des Automaten mit einem Pradikat, das die zulassigen i)a- 
tenfeldinhalte der CO Elemente langen PDU-Sequenzen zu dem jeweiligen Autornatenzustand angibt. Fur diese At- 
tributierung gilt folgende syntaktische Kontextbedingung: 

Vs e S, (a^xl . . . , xf a °), . - . ,a w (xl . . . , < (o ">)) € u(s) 
3(r 0) ... ,r w -i) 6 ^ 

D. h., daB die Knotenattributierungen im Zustandsgraphen des Automaten sich immer auf Transitionspf ade beziehen, 
die im jeweiligen Knoten enden. 

Im Rahmen der Lernaufgabe gibt es nun die uber die obigen syntaktischen Bedingungen hinausgehende Forderung an 
A, daB A die Beobachtung p = pi, P2, . . , Pi vollstandig erklart. Formal muB die folgende Aussage bc(A, p) erfulit sein: 

bc(A,p) = 3(r 0 ,r u ... } r t )eS l A 

(ro,a Pl ,n),(n,ap2> r 2)>- ; - , {n~u iflp,, r t ) G 5 A 

Pi) € u> A (U) (4-2) 

Anwendung 

In der Anwendungsphase der erlernten Protokollbeschreibung A wird eihe neue Beobachtung p auf ihre Erklarbarkeit 
mit dem gelemten Automaten hin untersucht. 
Gegeben: p e T1(Q . 

Gesucht: Wahrheitswert der Aussage bc(Ai p) (4.2). 

4.1.2 Charakterisierurig der Lernaufgabe 

Nach der nun erfolgten Formalisierung der Lern- und Priifaufgabe lassen sich Aussagen zur Losbarkeit des Lernpro- 
blems und zur Eindeutigkeit der Losung machen.. 

Weil keinerlei negative Beispiele zur Verfugung stehen, hat ein Lernalgorithmus bei der Losung dieser Lernaufgabe 
eine sehr groBe Freiheit. Diese bewegt sich zwischen einer Protokollbeschreibung A rain , die ausschlieBlich die beobachr 
tete PDU-Folge zulaBt, und einer Protokollbeschreibung A max , die alle Verhaltensweisen im Rahmen der PDU-Syntax £ 
akzeptiert Die Figuren A.37 und A38 stellen diese beiden Extreme graflsch dar fiir das Lehrbeispiel a(17), b(17, 42), 
c(59) und eine FenstergroBe w = 2. Beide Ausgaben sind in jeder Hinsicht korrekte Losungen der Lernaufgabe! 

Man erkennt daran, daB die Lernaufgabe fur beide Teilprobleme, den endlichen Automaten der PDU-Typen und das 
Regellernen fur die Datenfelder, nur heuristisch gelost werden kann. Auch das Kriterium der minimalen Beschreibungs- 
lange (minimum description length, MDL, z. B. [KMU95]) fiir A fiihrt nicht weiter, weil es in Abwesenheit von Nega- 
tivbeispielen immer die unbrauchbare Antwort A raax erzwingt. 

Daraus folgt, daB es eine einzige richtige Losung dieser Aufgabe nicht geben kann. Bereits anhand der Aufgabenstel- 
lung laBt sich also ablesen, daB der Verzicht auf eine von auBen vorgegebene ProtokoUspezifikation einen RompromiB 
hiasichtlich der erreichbaren Qualitat der Spuranalyse erzwingt. Die mit dem Lernansatz im folgenden erzielten Ergeb- 
nisse miissen jederzeit relativ zu dieser grundlegenden Einschrankung bewertet werden. Es bleibt nichtsdestoweniger 
eine interessante Fragestellung, was innerhalb des nunmehr abgesteckten Rahmens erreichbar ist. 

In Abschnitt 2.1.4 wurde bereits festgestellt, daB sich kein bekanntes Lernverfahren unmittelbar fur das Problem des 
Protokollernens eignet. In den folgenden Abschnitten werden daher heuristische Lemalgorithmen fiir die beiden Phasen 
der Lernvorgangs entwickelt, die sehr speziell auf das vorliegende Problem zugeschnitten sind. 

4.2 Algorithmus zum Regellernen 

In diesem Abschnitt wird der Lernalgorithmus fiir die Phase des Regellernens uber die PDU-Datenfelder vorgestellt. 
Dieser Lernalgorithmus ist zwar fiir den Protokollkontext entwickelt worden, kann von seiner Spezifikation her aber 
auch allgemein betrachtet werden. Er tragt den Namen LARGE-Algorithmus (ftir learning arithmetical rules from good 
examples, Lernen arithmetischer Regeln aus Positivbeispielen). 

4.2.1 Spezifikation 

Zunachst wird die elementare Lernaufgabe fur den LARGE-Algorithmus beschrieben. Im Kontext des Protokoller- 
nens handelt es sich dabei urn das Erlemen einer Regel fiir die Datenfelder einer ganz bestimmten Kombination von w 
PDU-Typen ^ 6 I an einem Zustand s e S des Automaten. Die Spezifikation der Ausgabe von LARGE umfaBt natiir- 
licherweise die Definition der Hypothesensprache, die der Algorithmus verwendet. 
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Eingabe 

Eingabe E fiir LARGE ist eine Menge von m Attributvektoren mil je n Komponenten, die Trainingsmenge: 
EcN n IEI = m>OAn>0 

Diese einfache Struktur der Eingabe wird dadurch ermoglicht, daB die Auswahl einer festen PDU-Sequenz entspre- 

I e^^n ? mS , ^ bUte u ein l feSte P ° Siti0n in dCn Beis P ielve ktoren verleiht. Im obigen Fall mit dem 
Lenrbeispiel a(17), b(17, 42), c(59) ergibt sich ein emziger Attributvektor: E = {(17, 17, 42, 59)} 

Ausgabe 

Schon in Abschnitt 2 1.4 wurde ausgefuhrt, daB arithmetische Zusammenhange zwischen den Datenfeldinhalten be- 
notigt werden, um korrektes Protokollverhalten zu charakterisieren. Um seiche komplexen Regeln kompakt darstellen zu 
konnen, verwendet LARGE eine spezielle Form funktionsfreier Hornklausellogik, also DATALOG, als Hypothesenspra- 

Jede Hypothese H e L ist eine Menge von Klauseln ' 
H=( Cl ...;c k }. 

Jede Klausel cj hat die Form 

Ci = ok(v,, . . ., v n ) \r 0d, . . ., a,, p!, . . ., p p . 

Dabei steht das ok-Pradikat fur "Attributvektor ist regelkonform". Die Variablen v 1( . . . ., v„ werden mit den Attribut- 
werten ernes Beispielvektors aus der Trainingsmenge E identifiziert. Fiir die Atome otf 1 < i < q) der Klausel eibt es fol- 
gende Moghcbkeiten: *^ 

mull: mull(v neu , vj, K) — v neu = Vj ■ K, K e Z{0} 
divl: divl(v neu , vj, K) ~ v nell = v/K, K ~ Z{0} 
mul2: mul2(v ncu , vj, v k ) ^> v neu = vj • v k 
add2: add2(v neu , Vj, v k ) ~ v neu = Vj + v k 
sub2: sub2(v neu , Vj, v k ) ++ v neu = Vj - v k 

Hier bezeichnen Vj und I v k "alte'; Variablen, die weiter links in der Klausel bereits aufgetreten sind, v neu ist dagegen eine 
neue Viable die durch das jeweihge Atom deterministisch festgelegt wird. Im folgenden werden die Atome dieser Ty- 
pen auch als abgeleitete Attribute bezeichnet. Die Atome p;(l < i < p) haben dagegen die Form • 
sonst: const(v j; d x , d 2 ) «• ^ < Vj < d 2 , d h d 2 e Z 

mit entsprechender Bezeichnungskonvention. Sie legen fest, welche Attributvektoren von der Klausel a akzeptiert bzw 
zuruckgewiesen werden. Die const-Atome werden im folgenden Bedingungen Oder Pradikate genannt 

Nach diesem Muster konnen schrittweise aus den Attributen arithmetische Terme gebildet werden, bis das Ergebnis ei- 
nes Terms immer innerhalb ernes festen Intervalls liegen mufl. Atome der Form addl oder subl (Addition/Subtraktion ei- 
ner Konstanten) smd uberfliissig weil beliebige additive Konstanten in der Bedingung von sonst vorkommen konnen 

Fur das schon mehrfach bemiihte Beisprel a(17), b(17, 42), c(59) konnte eine erlemte Klausel z. B. folgendermaBen 
aussehen, wobei abgeleitete Attribute und Bedingungen zur besseren Ubersicht im Zusammenhang gruppiert sind: 

ok[v l ,V2,v 3 ,v 4 ) h sub2(u 5> ?; 1 ,i; 2 ), 

const(v 5) 0,0), 

add2(u 6 ,U2,'W3), 
sub2(u7,t/ 6 ,w 4 -), 

const(u 7) 0,0). 

Die semantische Forderung an die von LARGE ausgegebene Hypothese lautet 

H |= E, 

d. h. alle beobachteten Wertekombinationen der Trainingsmenge mussen von der Hypothese akzeptiert werden 

Jede Klausel beschreibt eine Klasse von Fallen in der Trainingsmenge. Da die Hypothese H mehrere Klauseln umfas- 
sen kann, sind DisjunkUonen unterschiedlicher Regeln darstellbar. Es wird angestrebt, daB jedes Lehrbeispiel e e E ee- 
nau eine Klausel der Hypothese erfullt, weil die Klauseln idealerweise disjunkte Klassen von Situationen beschreiben 
sollen. Wenn sich zwei Klassen iiberschneiden, liegt der Verdacht nahe, daB sie 

1 . noch nicht hinreichend speziell beschrieben sind oder 

2. nicht wirklich unterschiedliche Falle z. B. im Rahmen der Protokollsemantik definieren. 

Allerdings konnen solche Uberlappungen nicht formal ausgeschlossen werden, so daB auch Hypothesen mit mehrdeu- 
tiger Klassifizierung von Lehrbeispielen prinzipiell zulassig sind. 
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4.2.2 Grobalgorithmus 

Die vom LARGE- Algorithmus durchgefiihrte Suche im Hypothesenraum muft gleichzeitig mehrere Teiiaufgaben lo- 
sen, fur die jeweils unterschiedliche Strategien erforderiich sind: 

1 . Mit Hilfe der Atome mull, divl, mul2, add2 und sub2 werden schrittweise abgeleitete Attribute erzeugt. 

2. Mit Hilfe des Atoms const werden Bedingungen uber die Attribute der Trainingsmenge oder die abgeleiteten At- 
tribute erzeugt, mit deren Hilfe eine Teilmenge der Trainingsmenge E als Treffermenge einer neuen Klausel ausge- 
wahlt wird. 

10 3. Aus den so erzeugten Klauseln werden Klauselkombinationen ausgewahit, die die gesamte Trainingsmenge ak> 

zeptieren und dabei moglichst keine bzw. moglichst wenig Uberschneidungen zwischen den Treffermengen der ent- 
haltenen Klauseln verursachen. 

Im folgenden wird der gesamte LARGE- Algorithmus.zunachst grob skizziert Die genaue Funktionsweise in Bezug 
15 auf die unterschiedlichen Teiiaufgaben ist Thema der anschlieBenden Abschnitte. Im Algorithmus und in weiter unten 
angegebenen Formeln treten einige Parameter mit Bezeichnern in GroBbuchstaben auf, die in einem weiteren Abschnitt 
genauer erlautert werden. 
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Algorithmus LARGE(E) 

E : Beispieldaten (vi, ... ,u n ) aus n Eingabeattributen 

C,bestC : Klauselmenge 
nC : Klausel 

C,bestC<r-d 

Wiederhole 

— neue Klausel 
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nCf-0 

Wahle E' C E durch AusschluB der Treffer einer Klausel c 6 C 
Wiederhole N_CONDSma\ 

- neues Pradikat 
Fiir alle Eingabeattribute v k 
Wiederhole NEW-ATTSmal 

— neues Attribut 

Sortiere die Attribute v { nach linearer Korrelation corr^',^) 
Suche v i} Vj mit betragsmaBig groBter Korrelation 
/ <- linearer Regressionskoeffizient coeff(2? t ', E' k ) 
Fallunterscheidung nach / 

+1 => 1/f <- - t/* 

sonst => v™"" <- / . Vi -' 
Fallunterscheidung nach CQzft{E' iz E' k ) • coeff (E',E' k ) 
>0 => V ™<- Vi + V . 
sonst =4> v% ew <-Vi- Vj 

Wahle nach Korrelation als neues Attribut 

Fur alle Attribute Vi 

nC i,i w <~ nC U min(^) <v { < max(^) 

nC?£ w <- nC U = x mit x haufigster Wert in fij 

n ^i!r <~ r nC U t/i € Cluster(^) ' 
nC «— nCjl w mit maximaler Klauselqualitat 
£' <-hits(£',n<7) 

-- Klauselauswahl ; 
Suche beste Klauseln C" C C mit C' (= E 
Wenn.C" gefunden und besser als bestC 
bestC <- C 

bis bestC # 0 und seit TERM STEPS Schritten keine Verbesserung 
Ausgabe: Klauselmenge bestC 
Ende von LARGE 

Der grundsatzliche Ablauf des Algorithmus ist der folgende: Es wird eine Liste C von Klauseln verwaltet. Pro Durch- 
lauf der Hauptschleife wird jeweils eine neue Klausel nC schrittweise konstruiert. Dies erfolgt unter ausschlieBlicher Be- 
trachtung einer Teiimenge E der Trainingsmenge. Es werden abwechselnd neue Attribute und neue Bedingungen kon- 
struiert und zu nC zugefugt Alle Zwischenergebnisse fur nC werden anhand einer globalen Qualitatsfunktion auf Klau- 
seln verglichen, das beste Zwischenergebnis zu C zugefugt. SchlieBlich wird gepruft, ob sich ein neues Optimum fur die 
Auswahl einer Klauselteilmenge bestC aus C ergibt, die alle Trainingsbeispiele akzeptiert. 

4.2.3 Erzeugung der Attribute 

Bei der Erzeugung der abgeleiteten Attribute besteht das Ziel darin, Terme zu konstruieren, die spater einen konstanten 
bzw. wenig streuenden Wert zur Verwendung in einer Bedingung liefem. Als Kriterium zur Steuerung der Termbildung 
wurde der lineare Korrelationskoefnzient qj zwischen Attributen v u vj gewahlt: 
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Die Idee dahinter ist, daB sich im Falle einer Abhangigkeit wie z. B. v x = v 2 + v 3 ein vom Betrag her auffallig erhohter 
linearer Korrelationskoeffizient zwischen v t 'und v 2 sowie zwischen V! und v 3 ergibt. Diese Beobachtung stimuliert daher 
die Neubildung eines Attributs v 2 + v 3 bei gleichem Vorzeichen der beiden Korrelationskoeffizienten bzw. v 2 - v 3 bei ab- 
weichenden. 

Die Attributerzeugung wahlt nacheinander alle v k als potentielle Zielattribute des neuen Terms. Die restlichen Attri- 
bute Vi werden nacb deni Betrag ihrer Korrelation mit v k) r 1)k , absteigend sortiert. Aus den obersten beiden Elernenten v^ 
vj, die dafiir in Frage kommen, werden nach folgendem Schema neue Attribute konstruiert: 

- Fur'Terme, die anhand des Zieiattributs aus einer weiteren Variable gebildet werden, wird zunachst der lineare 
Regressionskoeffizient berechnet: 



{Vi- Vi){v k Vk) ( aa\ 
{Vi - Vi) 2 



Sofem c k>i ganzzahlig gerundet einen Betrag von 1 hat, versucht der Algorithmus, mit einem der neuen zweistelli- 
gen Attribute v k - Vi bzw. v k + Vi je nach Vorzeichen von c k i einen potentiell konstanten Term abzuleiten. Anderen- 
falls wird das einstellige Attribut vj • c kii als potentiell zu v k ahnlicher Term erzeugt. In beiden Fallen wird die Qua- 
litat des neuen Terms mit der Korrelation r i k bewertet. 
i - Aus den beiden Variablen Vi und Vj werden die beiden neuen Attribute v, + Vj oder - je nach Vorzeichen der Re- 

gressionskoeffizienten - v| - vj sowie Vi ■ Vj gebildet und jeweils mit der Korrelation zwischen dem neuen Attribut 
und v k bewertet. 

Das hochstbewertete der so gewonnenen Kandidatenattribute wird als neues Attributatom der neuen Klausel hinzuge- 
) fiigt. Dies alles geschieht mehrmals pro Zielattribut v k , damit sich auch komplexere Terme bilden konnen. 

4.24 Erzeugung der Bedingungen 

Zur Erzeugung einer neuen Bedingung, d. h. eines Atoms des Typs const, werden fizr alle vorhandenen Attribute vj 
S folgende drei Bedingungen gebildet und versuchsweise der neuen Klausel nC hinzugefugt: 

1. min{E , i} < v\ < max { E'i }, eine beschreibende Bedingung ohne diskriminierende Funktion. 

2. hi < Vi < hi, wobei h L der haufigste Wert in E'i ist. Dies ist der Sonderfall einer Einzelwertbedingung. 

3. di < Vi < d 2 mit (di, d 2 ) = Cluster(E'i), die Einschrankung auf ein Teilintervall, das mit Hilfe der heuristischen 
D Funktion Cluster zum Auffinden auffalliger Haufungen bestimmt wird. 

AnschlieBend wird diejenige neue Bedingung Teil der neuen Klausel, die die globale Qualitat der neuen Klausel ma- 
ximiert. Dies alles geschieht mehrmals pro neuer Klausel. 

Die folgenden beiden Unterabschnitte erklaren die Cluster-Suche und die Klausel- Qualitatsfunktion naher. 



Heuristische Cluster-Suche 



Bei der Auswahl eines Teilintervalls von Werten innerhalb aller vorkommender Werte fur ein Attribut kann der 
LARGE-Algorithmus ja nicht auf Klassenkennzeichen zuriickgreifen, wie es bei Verfahreri nach dem Paradigma des 
.0 uberwachten Lernens moglich ware. Das einzige Kriterium fiir LARGE ist das Auftreten auffalliger Haufungen von 
Werten. Eine solche auffallige Haufung ist rein anschaulich gegeben durch ein Intervall von Werten eines Attributs, in- 
nerhalb dessen relativ viele Beispiele liegen, auBerhalb dessen Grenzen die Beispieldichte jedoch stark abnimmt. 

Die heuristische Cluster-Suche erfolgt auf der Menge der in E'i vorkommenden Attributwerte. Die gesuchte auffallig- 
ste Haufung ist gegeben durch dasjenige Intervall [d t ; d 2 ], d lf d 2 e E'i, das den Haufungsquotienten qmaximiert: 

55 def minjdi - max{cg 0 lrf 0 € E[ A d 0 < dj} % min{d 3 \d 3 6 E[ Ad 3 > d 2 ] - d 2 } ^ ^ 
9 " . max{d*- d L \d x < d L < d R < d 2 r\]d L \d R {r\E\ = 0} 

Der Zahler dieses Bruchs bezeichnet die Breite der kleineren Lilcke unmittelbar "links" bzw. "rechts" neben dem frag- 
60 lichen Intervall [d^ d 2 ], in der sich keinerlei Werte des Attributs befinden, wahrend der Nenner die Breite der groBten 
wertefreien Liicke im Innern des potentiellen Haufungsintervalls bezeichnet. Im Zahler soli der jeweilige Term im auBe- 
ren Minimumoperator entf alien, sobald das [d t ; dj-lntervall am Rand des Wertebereichs liegt und daher keine gultiges 
do bzw. d 3 existiert. 

Zusammengenommen liefert q das Verhaltnis aus der Grenzscharfe des Haufungsintervalls und seiner Kompaktheit, 
65 also ein gutes MaB fur eine "auffallige" Haufung. Figur A.39 zeigt ein Beispiel fiir die Berechnung von q anhand des Hi- 
stogramms eines Attributes. Man beachte, daB periodische Histogramme wie in diesem Beispiel bei ganzzahligen Attri- 
butwerten leicht aufgrund von Multiplikationen auftreten konnen. Die Idee der Cluster-Suche besteht darin, die zu einer 
Klasse von Fallen gehorenden Werte innerhalb der gesamten Wertemenge E'i auszumachen. 
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Entscheidend ist, da!3 das Auffinden des Haufunesintervalls mit m aY im a ipm « of¥ ;,- , . , 

Theorem 6 

Sei ]d L ; d R [ die groBte Lucke innerhalb des Wertebereichs E if 

14; d*[ n = 0 A d L = max{6 - a | ]o; b[ n fij = 0}. 

]d L ; d R [ liegt auBerhalb eines Interval [d, ; dj mit d b d 2 e E' if das q maximiert: 10 
d L . d R £ ]d i; d 2 [ 



Beweis 



15 



^ii - A ' 20 

9i = — ^ — mit A/ < d R - d L 

&i d R -d L ~ d R -d L q 

kJ^ iKJlTn Fi) : dJ T lD 1 terVa11 ' ln dem ]dL; dR[ nicht enthalten ist - ™d mindestens den gleichen Haufungsquo- 30 
txenten Lefert. Das maximale q kann also immer nut einem Interval! erreicht werden, das d R [ n ch\ enSt 

grSTiSi'sn s sr Tem c ; uste nT' ind r sie den wertebereich in ^ ^^ttL hts der 

groBten Lucke aufteilt, q fur diese TeihntervaUe berechnet und sich rekursiv fur jeden der beiden Telle emeut aufruft: 
Prozedur Cluster(a, b) 

35 

Wenn a = 6 Dann ferttg 

Suche groBte Liicke }L; R[ innerhalb [a; b] 
Berechne q(a,b) anhand ]L;R[ und AuGenrander 

Cluster(a,Z); Cluster^, 6) 40 
Ende von Cluster 

Klausel-Qualitatsfunktion 

Fur die Bewertung der Qualitat einer Klausel wurde eine Klausel-Qualitatsfunktion O- K— » N definiert wohei Tf Hi„ «« 
Menge der moghchen Klauseln bezeichnet. Q wird zu dre, versch.edenen Zwecken ^^SiS^SS^ 

424° bd K ° nStrUkti0n neUer Bedi ng u «lgen die fur die neue Klausel jeweils beste zu bestimmen (vgl. Abschnitt 



2. Um von den p Zwischenergebnissen 
ok{v u . .. ,v n ) h ... 
okfa,... >Vn ) (- ... ^fafc 

ok{v u ... ,v n ) h ... ■,/?.,/%,... ,/? p . 

t*VnZ?l™n hii ? ^ de 'f a T mSte C Z " behaltende neue Klausel auszuwahlen (vgl. Abschnitt 4.2 2) 

C J^pti?^^ 1 , f dl ^ aUSZU e ebende Hypothese (siehe nachster Abschnitt) die besten Klauseln aus 

C nut geeigneter Klassifizierung der Trainingsbeispiele zu wahlen: ^"sein aus 
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Aufgrund dieser Anwendungen von Q ist es entscheidend, daB Q(c) jede Klausel einzeln bewertet, ohne Riicksicht auf 
die Akzeptanzmengen der anderen Klauseln oder den Beitrag von c zu einer vollstandigen und iiberlappungsfreien Ak- 
zeptanz der Trainingsmenge. Bei c eine Klausel 

C = 0k(Vi, . . ,V n ) I" &l, • • ■ ,&qi fti • • • ) A>-> 

mit den Bedingungen pi. Die Atome a it die die abgeleiteten Attribute bilden, spielen fur die Berechnung der Klauselqua- 
litat keine direkte Rolle, sondern definieren nur zusatzliche Attribute, auf die in den pi zugegriffen wird. AuBerdem be- 
zeichne T c Q E die Trefferrnenge der Klausel, 

T c *4 { e eE\c\=e}> 

und Ti Q E die Trefferrnenge der Bedingung Pi, 

T,=' {e e E\0 { [= e} mit 1 < i < p. 

Die Klauselqualitat Q(c) ist definiert als 

Q(c) = 100 • attr - rej + comp/. (4.6) 

Die einzelnen Komponenten berechnen sich wie folgt: 

- attr (fur attraction, Auffalligkeit) ist ein MaB fur die mittlere Auffalligkeit der von den einzelnen Bedingungen 
ausgewahlten Werte des jeweiligen Attributs innerhalb der vorkommenden Werte. Seine Definition ist: 

1 P 

attr - V min{99; 99 • att(ft)}. 

n ' * 
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Die Bewertungsfunktion att fiir die einzelnen Bedingungen unterscheidet zwischen den folgenden drei Fallen: 
1. pi = const(v s , d, d) wahlt einen Einzelwert d aus: Seien 

r = r 1 n...nr M i 

die Trefferrnenge der Klauselbedingungen vor Pi, N(w) die absolute Haufigkeit des Wertes w im Attribut v s in T*, 



also 

def 



N{w) d 4\{j\(T*)i = w}\, 

und N* die Anzahl der iibrigen Einzelwerte, deren Auftretens haufigkeit in T* den Bruchteil SINGLE_XCEL der 
Haufigkeit von d erreicht oder iiberschreitet: 

PT = \{w G Z\N{w) > SINGLE. EXCEL ■ N{d)}\ - 1 

Dann ist 

def max{0; 1 - COMPARE. F ■ N*} 
att(ft) = SINGLE. F 1 + log 10 (|T*| / N(d)) 

Im Zahler des Bruchs steht ein MaB fur die Anzahl sonstiger Einzelwerte, die "fast so oft" wie d auftreten, und im 
Nenner fur den Anteil der von ft ausgewahlten Beispiele an der noch iibrigen Trefferrnenge. Im Idealf all wird N = 
0 und N(d) +IT*I, der Bruch also zu 1. . 

2 Sonst wenn ft = const(v s , d b dj ein Intervall auswahlt und dabei Beispiele ausschheBt, also Tj O . . . O T; ^ 
T*: Bezeichne N** die Anzahl der iibrigen Intervalle, deren logarithmisch bewerteter Haufungsquotient den Bruch- 
teil CLUSTER_EXCEL der Bewertung von [dr, dj erreicht oder uberschreitet: 

N" = \{(v t w) € T; 2 |log 10 9KH > CLUSTER-EXCEL • log 10 q ldi .,d 3 )}\ - 1 

60 Damit berechnet sich 

att(/?i) d = CLUSTER.F ■ max{0; log 10 q {dvM } 

• max{0; 1 - COMPARE. F ■ N") 

mit q jeweils als dem Haufungsquotienten gemaB (4.5) auf der Beispielmenge t*. Der zweite max-Term begrenzt 
auch hier die Bewertung fiir Bedingungen, die eine von vielen "fast gleichguten" Auswahlen treffen. Die Berech- 
nung von N** erfolgt tatsachlich wahrend der rekursiven Ausfuhrung der Cluster-Prozedur und verursacht daher nur 



54 



^ 1 V\J ^ A. jL 



n log n Aufwand. Das ist zulassig, weil alle von der Berechnung ausgeschlossenen VergleichsintervaLle einen Hau- 
fungsquotienten von hochstens 1 haben (siehe Beweis von Theorem 6) und daher nur fur Intervalle [di; dj eine 
Rolle spielen wiirden, die ohnehin mit 0 bewertet werden. 

3. Sonst, wenn Ti 5 T*, d. h. pi = const(v s , d b d 2 ) das voile Werteintervall seines Attribute akzeptiert, gilt: 

att(A) = FORCE 'J? • (FULL-FO + FULL.F J log 10 (d 2 - d x + 1)) 

Es werden also schmalere Intervalle gegeniiber breiteren belohnt, wobei der Parameter FULL_FO eine breitenunab- 
hangige Grundbewertung modelliert. FORCE_F ist ein dynamischer Parameter, der verwendet wird, um die Termi- 
nation von LARGE sicherzustellen: Wenn die Anzahl der gebildeten Klauseln ihr Maximum CLAUSES_MAX er- 
reicht hat, ohne daB alle Trainingsbeispiele akzeptiert sind, wird FORCE_F von initial 1 schrittweise erhoht, um 
Klauseln zu bevorzugen, die wenig Beispiele ausschlieBen. 

- rej (fur rejections, Ablehnungen) gibt an, wie viele Bedingungen der Klausel im Mittel pro abgelehntem 

Trainingsbeispiel unerfullt sind: 



. def 
rej = 



min < 99; 



10 



El£\Ti| 



wenn T c # E 



\E\T C \^ 

min {99; [10 • FORCE -F ■ FULL-RED - pj } wenn T c = E 



Bei Klauseln, die nur eine Bedingung haben und Beispiele ausschlieBen^ ergibt sich immer der Wert 10. rej 
nimmt zu, wenn die von der Klausel akzeptierte Beispielklasse durch mehrere verschiedene Bedingungen, also 
redundant, definiert wird. Solche Redundanz in den Klassifikationregeln wird als Argument dafiir verstanden, 
daB die gefundenen Klassengrenzen mit Ruffalligkeiten innerhalb der Train ingsmenge ubereinstimmen. Figur 
A.40 stellt diesen Aspekt grafisch dar: Im Figurteil a lassen sich die im eingezeichneten Rechteck liegenden 
Punkte durch jede der beiden Bedingungen und R 2 bereits weitgehend klassifizieren, die Klassifikation 
durch Pi und (i 2 ist teilweise redundant. Im Teil b ist die Beispielhaufung innerhalb der von c definierten Klasse 
weniger auffallig, es sind beide Bedingungen erforderlich. Die Werte rej = 17 bzw. rej = 13 geben an, daB die 
nicht zur von c definierten Klasse gehorenden Beispiele im Mittel durch 1,7 bzw. 1,3 const-Atome in c abge- 
lehnt werden. 

Fur Klauseln, die nicht diskriminieren, sondem die gesamte Trainingsmenge beschreiben, kann kein MaB fur 
die abgelehnten Beispiele errechnet werden. Dieser Fall T c = E sollte idealerweise immer dann eintreten, wenn 
alle Beispiele tatsachlich derselben Klasse zugeordnet werden konnen - die Klassenzahl ist dem LARGE- Al- 
gorithmus ja nicht vorgegeben. Diese Klauseln werden mit einem Vergleichswert bewertet, der einerseits pro- 
portional zur Klausellange ist, weil ja auch die erzielbare Redundanzbewertung von diskriminierenden E^au- 
seln mit deren Lange zunimmt. Der dynamische Faktor FORCE_F dient wiederum zur Beschleunigung der 
Termination, falls LARGE am Anfang zu kleine Klassen fihdet. Mit FULL_RED kann die Gewichtung von be- 
schreibenden gegeniiber diskriminierenden Klauseln statisch festgelegt werden. 

- compl (fur complexity, Komplexitat der Klausel) soil einfachere Klauseln im Sinne des MDL-Paradigmas 
(vgl. Abschnitt 4.1.2) belohnen. Diese Komponente berechnet sich rekursiv uber den Aufbau der abgeleiteten 
Attribute und gibt die mittlere Anzahl der Operatoren pro Bedingungsattribut an. Wegen der Interpretation von 
Q als Qualitatsfunktion muB compl mit steigender Komplexitat abnehmen, weshalb der Wert so umgerechnet 
wird, daB compl = 99 fur keinen Operator stent, d. h. nur EingabeaLttribute in den Bedingungen, und compl = 0 
fur durchschnittlich 9,9 und mehr Operatoren pro Bedingungsterm, mit linearer Interpolation dazwischeri: 



compl d = 



mit 



1 p 

- max{0; 99 - 10 • cmp^.)} 



cmp(i; s ) + 1 + cmp(ti t ) falls mul2(uj, v Si v t ) G c 

cmp(?j s ) + 1 + cmp(v t ). falls add2(up v Sl v t ) G c 

crap(v s ) + 1 + cmp(v t ) falls sub2(i; :7 -, v s , v t ) 6 c 

cmp(v s ) + 1 falls 1X11111(^,^5, k) e c 

cmp(v s ) + 1 falls divl(t/j, v s , k) 6 c 

0 falls 1 < j < n 



Dabei bezeichnet vpi das in der Bedingung pi getestete Attribut. 

Die Einschrankung des Wertebereichs der Komponenten attr, rej und compl auf [0; . . .; 99] und der Gewichtungsfak- 
tor 100 in (4.6) sorgen dafur, daB die Komponenten attr und rej bei Vergleichen absolute Prioritat vor der Komponente 
compl erhalten. attr und rej sind dagegen durch die Multiplikation gleichberechtigt und arithmetisch UND-verkniipft, 
Werte der Qualitatsfunktion tragen in den Einer- und Zehnerstellen die Bewertung der Termkomplexitaten, in den Hun- 
derter- bis Hunderttausenderstellen das Produkt aus den Bewertungen der Cluster- Auffalligkeit und der Klassifikations- 
redundanz. 
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4.2.5 Auswahl der Klauseln 

Bisher wurde beschrieben, wie Atome und Klauseln konstruiert und damit die Klauselmenge C im Algorithmus 
schrittweise aufgebaut werden. Der letzte Schritt ist nun, aus der aktuellen Klauselmenge C eine Auswahl von Klauseln 
5 zur Hypothese h Q C zusammenzustellen, die alle Beispiele der Trainingsmenge E akzeptiert (vgl. Abschnitt 4.2.1). 

Fur die Klauselauswahl ist die Klauseliiste C = c lt . . c k nach der Klauselqualitat Q(c) (4.6) absteigend sortiert. Es 
wird eine Teilmenge h = ch, . . eft von Klauseln gesucht, die moglichst wenige Treffer t h auf der Trainingsmenge auf- 
weist, aber alle Lehrbeispiele akzeptiert: 

10 def 
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t=l 



th > \E\ A t h minimal! 

Zum Vergleich solcher Klauselauswahlen h Q C ist eine Qualitatfunktion Q* fur Hypothesen definiert: 



y- 2 CLAUSBS.MAX-< wenn ^ = |£| 

wenn t h > \E\ 



i=1 (4.7) 



t h - \E\ 



Durch diese Definition sind uberlappungsfreie Hypothesen (erster Fall) imrner besser als solche mit mehrdeutiger 
Klassenzuordnung (zweiter Fall). Bei uberlappungsfreien Hypothesen werden Klauseln aus dem vorderen Teil von C be- 
lohnt, also die mit der hochsten Klauselqualitat, ansonsten die mit dem geringereri Uberlappungsgrad t^ -IEI. 

Der Algorithmus zur Auswahl von Klauselteilmengen tragt zunachst all jene Klauseln in die Hypothese ein, die ir- 

30 gendein Beispiel als einzige klassifizieren und daher mit Sicherheit in der Hypothese enthalten sein miissen. Im ersten 
Durchlauf versucht er dann, eine optimale Uberlappungfreie Hypothese zu konstruieren. Dazu werden von vom nach 
hinten alle Klauseln aus C, die nicht zu Mehrfachtreffem in der Hypothese fuhren, hinzugenommen. Wenn die Suche das 
Ende der Liste erreicht und die aktuelle Hypothese h noch nicht alle Beispiele abdeckt, erfolgt Backtracking nach dem 
folgenden Schema: Die Suche von vom nach hinten wird wiederaufgenommen an der dem Listenende nachsten Position 

35 i mit Cj e h, c i+1 £ h, nachdern alle Klauseln vom Listenende bis einschliefilich q wieder aus der Hypothese gestrichen 
worden sind. Sobald eine vollstandige uberlappungsfreie.Hypothese gebildet wurde, stellt sie die gesuchte optimale Aus- 
wahl gemaB (4.7) dar, was die geschilderte Suchstrategie und die Vorsortierung der Klauseln garantieren. Wenn keine 
solche Hypothese gefunden werden konnte, erfolgt ein zweiter Durchlauf, urn die beste Auswahl mit Uberlappung zu er- 
mitteln. Die Suchstrategie ist zum ersten Durchlauf weitgehend analog, allerdings kann die Suche nicht mit dem ersten 

40 Fund einer vollstandigen Beispielabdeckung abgebrochen werden, da ja gemaB (4.7) die Gesamttrefferzahl t h zu mini-: 
mieren ist. 

Um den Aufwand bei der Suche nach geeigneten Klauselteilmengen zu begrenzen, der normalerweise bei O(IPCI) = 
0(2 k ) lage, wird jeweils nach SELECTJVLAX Schleifendurchlaufen abgebrochen. 

Die so konstruierte Hypothese wird zur aktuellen Ausgabehypothese, falls ihr Q*(h) das der letzten Ausgabehypothese 
45 ubersteigt. 

4.2.6 Suchstrategie 

Die bisherigen Erklarungen zur Klaus elkonstruktion wiirden nicht ausschlieflen, daB LARGE Zyklen im Suchraum 
50 durchlauft oder immer wieder die gleichen Attribute oder mathematisch aquivalente Bedingungen bildet. Daher gibt es 
eine Reihe von Regeln und Mafinahmen, die die Suche so steuern, daB die genannten unerwunschten Effekte ausge- 
schlossen sind. 



Vor auswahl von Beispielen 



Die erste dieser MaBnahmen ist die Vorauswahl der Beispielteilmenge E 1 im Algorithmus (siehe Abschnitt 4.2.2) - 
dort als "wahie E'CE durch AusschluB der Treffer einer Klausel c e C" bezeichnet. Hierzu verwendet LARGE einen 
Klauselindex cls_excl, der zyklisch alle Klauseln durchlauft. Alle Treffer der aktuell indizierten Klausel gelangen nicht 
in die Menge E', die den Ausgangspunkt zur Bildung der nachsten neuen Klausel bildet. Pro Durchlauf des Index 
60 clsjexcl wird genau einmal die vollstandige Beispielmenge E herangezogen: 



E\T Ccl3 exc , wenn 1 < cls-excl < \C\ 
E wenn els -exel = 0 



65 Dadurch werden Beispiele, die gerade durch eine neue Klausel zu einer moglichen Klasse zusammengefaBt worden 
sind, bei einer der nachsten Klauselbildungen gewissermaBen ausgeblendet. Somit konnen auch Klassengrenzen in sol- 
chen Dimensionen des Attributraums gefunden werden, in denen sich bei Betrachtung der gesamten Trainingsmenge 
keine zur Klassendiskrimination geeigneten Haufungen zeigen. Figur A.41 stellt einen solchen Fall beispielhaft dar: Im 
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Teil a kann nur die Menge A diskriminiert werden, weil entlang der Achse vj kein Dichteunterschied erkennbar ist. Erst 
nach Ausblenden von A erfolgt die Diskrimination der Menge B (Teil b). 

Tabu-Suche 

5 

Die zweite MaBnahme bei der Suchstrategie betrifft die Erzeugung von Bedingungen (siehe Abschnitt 4.2.4): Hier 
verwendet LARGE das Verfahren der Tabu-Suche (tabu search), um nicht wiederholt die gleichen Diskriminationen zu 
Liefern. Zu diesem Zweck wird eine Tabuliste set_tabu von Beispielklassen verwaltet. Diese Liste ist aus Effizienzgrun- 
den rnit Hilfe einer Hash-Funktion auf E-Teilmengen implementiert, was vom Prinzip her jedoch keinen Unterschied 
macht: ■ 10 

- Bei der schrittweisen Erweiterung der neuen Klausel nC um neue Bedingungen werden alle Bedingungen ver- 
worfen, die zu einer von der Klausel akzeptierten Beispielmenge fuhren, die in set_tabu vermerkt ist. 

- Immer wenn C bereits MAX_CLAUSES umfaBt und die letzte neuerzeugte Klausel nC von ihrer Klauselqualitat 
Q(nC) her schlechter ist als die beste Klausel in C, wird die von nC diskriminierte Klasse in die Tabuliste eingetra- 15 
gen. 

- Wenn set_tabu mehr als.TABUS_MAX Eintrage umfaBt, werden der oder die altesten davon geldscht, bis die 
Maximallange wieder eingehalten wird. 

20 . 

Regeln fiir die Atome 

Da bei der Bildung abgeleiteter Attribute grundsatzlich beliebige arithmetische Terme entstehen konnen, besteht die, 
Gefahr, daB LARGE redundante Attribute und aquivalente Klassifikationsregeln erzeugt. Ein Beispiel dafiir ware das 
folgende, mit den abgeleiteten Attributen als Terme ausgeschrieben: 25 : 

Ok(Vi , V 2 , V 3 ) & V\-V2=V3 

A Vi + ( — 1 • V 3 ) = y 2 

Durch die Belohnung redundanter Diskrimination in der Klausel-Qualitatsfunktion Q (Komponente rej in 4.6, siehe 30 
Abschnitt 4.2.4) wiirden derart unsinnige Suchergebnisse sogar bevorzugt werden. Die hier vorliegende Redundanz ist 
aber wertlos, weil sie von zwei identischen Bedingungen herruhrt. Die von Q sinnvollerweise zu belohnende Redundanz 
betrifft jedoch ubereinstimmende Diskriminatioriseffekte verschiedener Eingabeattribute und ist darnit eine Eigenschaft 
der Trainingsmenge, nicht der Klassifikationsregeln. 

Die Moglichkeit, Aquivalenzen dieser Art durch Integration eines Theorembeweisers in LARGE aufzuspiiren, muB 35 1 
aus Komplexitatsgriinden verworfen werden. Stattdessen gilt der folgende Satz von Regeln bei der Konstruktion von 
Klauseln: 

1. Als Zielattribute bei der Bildung von Attribut-Atomen mit Hilfe der Korrelationskoeffizienten sind nur die Ein- 
gabeattribute Vi, . . v n zugelassen. Dadurch wird die Anzahl der Ziele fur die Termbildung beschrankt, ohne an 40 
Ausdrucksfahigkeit zu veirlieren. 

2. Wenn ein Eingabeattribut v k in die Berechnung einds abgeleiteten Attributs vj eingeht, wird Vi nicht benutzt, um 
ein abgeleitetes Attribut mit Ziel v^ zu bilden. Denn diese Korrelation ware ungerecht hoch und die resUltierende 
Regel ohnehin verboten wegen Punkt 4. 

3. Ein mit mull gebildetes Attribut der Form Vi • kwird nie als. Argument eines weiteren mull -Atoms in Betracht 45 
gezogen, da dasselbe Ergebnis durch. direkte Verwendung von Vi in einem mull -Atom mit anderem Faktor k er- 
reichbar ist. 

4. Zweistellige Attribut- Atome der Typen mul2, add2 und sub2 mit Argumenten v^, vj werden nicht gebildet, wenn 
Vj und vj aus ein oder mehreren gemeinsamen Eingabeattributen berechnet sind. Sonst konnten einzelne Eingabeat- 
tribute durch inverse Operationen aus dem Ergebnis faktisch eliminiert werden, wie etwa in (\ x + v 2 ) - v^ 50 

5. Alle Bedingungen einer Klausel miissen sich auf verschiedene (nicht notwendig paarweise disjunkte!) Mengen 
von Eingabeattributen beziehen. Dies ist die entscheidende Regel zur Vermeidung aquivalenter Diskriminationsre- 
geln innerhalb einer Klausel. 

6. Je nach Anwendungsfall ist es nicht sinnvoll, Terme mit mehrfach verketteten Multiplikationen zu bilden. Dies 
kann erstens Uberlaufe des Zahlenbereichs in der Implementierung provozieren, zweitens bilden sich durch Multi- 55 
plikationen immer ungleichmaBige Verteilungen der auftretenden Werte des Produktattributs, was die Suche nach 
systematischen Haufungen erschwert. Daher wird die Multiplikationstiefe der abgeleiteten Attribute auf 
MULS_MAX beschrankt. Als Multiplikationstiefe eines Attributatoms gilt hier das Maximum der Multiplikations- 
tiefen seiner Argumente, genau dann um 1 erhoht, wenn es sich um ein mull- oder mul2-Atorn handelt. 

60 

Terminadon 

LARGE terminiert, wenn eine alle Beispiele abdeckende Hypothese gefunden wurde undTERM_STEPS Klauselkon- 
struktionen lang keine Verbesserung der Hypothesenqualitat gemaB Q* erzielt werden konnte. 65 
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. 4.2.7 Parameter 

Die folgende Tabelle zahlt die Parameter auf, die den LARGE-Algorithmus steuern. Viele davon sind in den vorange- 
gangenen Abschnitten bereits in Formeln oder Teilalgorithmen aufgetreten: 



Parameter 


Beschreibung 


Vorgabe 




lVllXllIlld.IC r\ 1 1 fc>a 1 1 1 VUU i^aLCllULiiiJvLt/ii m vlllwlll 

Cluster, damit auch minimale KJassengroBe. 




TERMJ>TEPS 


Nach TERM-STEPS Hauptschleifen- 
Qurcniauien orme verucbbcrung uci riypuiiicbc 
erfolgt die Termination. 


6 


SELECT MAX 


Maximale Anzahl Durchgange bei der Suche 

no/>Vi oinor XT 1 Oil Of> I fill CtX/Q Y\ 1 nif H 1 TT\/T"*/%w1^Cf* 

nacn einer isjduociauowdiii iui uic xiypuiiicac, 
notig zur Aufwandsbegrenzung. 


50 


TABUS MAX 


Maximal TABUS MAX Eintrage bleiben in der 
Klassen-Tabuliste stehen, wenn eine neue Klau- 
sel gefiinden wurde. 


4 


MULSMAX 


Maximale Zahl von verketteten Multiplikatio- 
nen in emem abgeLeiteten Attnbut, bildhch die 
maximale Zahl von Multiplikationen in den 
Pfaden des Berechnungsbaums mit den Einga- 
beattributen als Blattern und dem Ergebnis als 
WurzeL 


1* 


DISMAX 


Maximale Zahl von Diskriminationen pro Klau- 
sel. Eine Diskrimination erfolgt durch die A;-te 
Bedingung genau dann, wenn ihre Treffermen- 
ge mindestens em Beispiel aus der Treffermen- 
ge aller bisherigen Bedingungen ausschlieBt, 

formal: Ti n ... n c T 1 n...'nr M . 


2 


SINGLE.F 


Gewichtung der Auffalligkeitsbewertung fur 
Einzelwerte in Q. 


1,5 


SINGLE JEXCEL 


SINGLE-EXCEL-N(d) ist die Schwelie fur die 
Haufigkeit eines anderen Attributwertes w in 
der Beispielmenge, ab der w in der Auffallig- 
keitsbewertung als ,/ast so haufig wie d ' gilt. 
Dies mindert die Auffalligkeit von d. 


0,4 


CLUSTERS 


Gewichtung der Auffalligkeitsbewertung fur 
Intervall-Cluster in Q. 


0,5 


CLUSTER JEXCEL 


CLUSTER JEXCEL \og^ q ist die Schwelie fur 
den Zehnerlogarithmus des Haufungsquotien- 
ten eines anderen Intervalls [di;^] in der Bei- 
spielmenge, ab der [d x ; d 2 ] in der Auffalligkeits- 
bewertung als ,/ast so haufig wie das gewahl- 
te Intervall" gilt. Dies mindert die Auffalligkeit 

rlf*<; o-pw^HItpti TrktPTV^Ilc 
UCo tvWaiiiiwii u.itwi va.uo. 


0,5 


COMPARED 


Steilheit der Abwertung bei „ahnlich auffalli- 
gen" konkurrierenden Einzelwerten oder Clu- 
sters Ab 1 / COMPARE. F Konkurrenten ist 
die Auffalligkeit null. 


0,2 
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Parameter 


Beschreibung 


Vorgabe 


FULL.FO 


Konstante Auffalligkeitsbewertung fur Inter- 

VallUCLllIl^UIl^ull, U1C allC J3CloplcIC 1X1X61 /\US- 

gangmenge erfassen, d. h. nicht diskriminieren. 


0,1 


FVLLJF 


Intervallbreitenabhangige Auffalligkeitsbewer- 
tung fur Intervallbedingungen, die alle Beispie- 
ic ixuci /^u.5gdLiigiiicugc enassen, a. n. nicnr gis- 
kriminieren. 


0,2 


FULL-RED 


Faktor fur die Redundanzbewertung nichtdis- 
kriminierender Intervallbedingungen. Bei 1,0 

f*T\ f"OT"M"1 f* r\t nip KPlirPrflinn' amor TY^nvf mnl •-/"-» /I,,,. 

cuLopriLiii uic Dcwcuung einer niaxiiiiai reoun- 
danten diskriminierenden KlauseL 


0,75 


FORCEJSTEP 


Faktor fiir die schrittweise Erhohung der Be- 
wertung nichtdiskriminierenderKlauseln, wenn 
die Klauselliste schon gefullt ist, aber die aktu- 
eiie riypoxnese nocn nicnt aiie x5eispiele akzep- 

tiprt 


1,5 


J v \yi y±y^y 


lvidximdie j\iizauL ijeaingungen pro KJausei. 


n 4- 1 


ATTSMAX 


Maximale Anzahl von Attributen insgesamt. 


2n • NEW -ATTS 


CI AJ1RFR MAY 


iviaxirnaie /vnzani iviausem in der KJauselliste 
bzw. der Ausgabehypothese. 


10* 


NFW ATT^ 


/\nzani leirnneuuiiuungen pro neuer tsedin- 
gung. 


15* 


ATTJGNORE 


Neugebildete Attribute werden erst 
ATTJGNORE Attributbildungen spater als 

Arpumentp hpranap^ncxpn ^tpnprt Hip Tip-Fpn 

und Breitensuche-Anteile bei der Termbildung. 


3 *e 



• Die mit * gekennzeichneten Parameter sind diejenigen, die auch fiir Anderungen durch den Anwender bei konkreten 
Lernaufgaben vorgesehen sind. n ist die Anzahl der Eingabeattribute Vi ? . . ., v n . 



4.2.8 Aufwandsabschatzung 

In diesem Abschnitt erfolgt eine Abschatzung des Laufzeitaufwands im schlirnmsten Fall, Clarge. einen einzelnen 
Schritt der LARGE- Hauptschleife, also die Kpnstruktion einer neuen Klausel und die Klauselauswahl fiir die aktuelle 
Hypothese. 

Bei der Aufwandsberechnung wird die Anzahl der Maschinenoperationen ublicher Prozessoren als Berechnungs- 
grundlage verwendet. Daher sind die Schleifenstrukturen des bis auf solche Elementaroperationen hinunter verfeinerten 
Algorithmic zu analysieren. Die bei dieser Analyse im ersten Schritt auftretenden freien Variablen sind in Tabeile 4.2 be- 
schrieben. 

Die Analyse der Schleifenstruktur liefert folgende Terme fur die Berechnung von C L arge' 

- Auswahl der Beispielteilmenge E' fiir die Klauselkonstruktion: Die Auswahl erfolgt in einer Schleife iiber die 
Trainingsmenge in Abhangigkeit von der aktuell auszuschlieBenden Beispielklasse. Unter Vemachlassigung multi- 
plikativer Konstanten ergibt sich als Aufwandsterm: 

C X LARG e = 0(m) (4.8) 

- Berechnung der ^Correlations- und Regressiohskoeffizienten und Sortierung der Attribute: Die Korrelationsbe- 
rechnung erfolgt fiir jedes Zielattribut einzeln, wofiir nur Eingabeattribute verwendet werden. 

Der resultierende Aufwandsterm ist: 

CIargb = °( n ■ ATTS. MAX -m + n- ATTSMAX log ATTS. MAX) 

= 0((n • ATTS. MAX) ■ (m + \og ATTS. MAX)) (4.9) 

- Suche von Kandidaten fiir die Attributneubildung: Hier treten bis zu vier geschachtelte Schleifen auf, namlich 
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uber die Zielattribute v k , NEW_ATTS Neubildungen und das Paar Vi, vj der Argumentattribute. Fur Vj und vj kom- 
men jeweils die n Eingabeattribute und a k der abgeleiteten Attribute in Frage, dies sind diejenigen abgeleiteten At- 
tribute mit Zielattribut v k . Die zugehorige Surnme (n + ajj kann grob mit ATTS_MAX nach oben abgeschatzt wer- 
deh. 

5 Der resultierende Aufwandsterm ist: 



(4.10) 

Das n aus der innersten Schieife stammt vom Test auf gemeinsame Eingabeattribute in den Termen zu und Vj. 
Man beachte, daB die Suchschleife fur Vi, Vj nur solange durchlaufen wird, bis ein Argumentpaar gegen keine der 
15 Regeln aus Abschnitt 4.2.6 verstoBt. Dieses Paar wird verwendet, weil es sich ja dank der Sortierung nach Korrela- 

tion zu v k urn das am besten passende Attributpaar handelt. In Fallen, wo die obersten beiden Attribute verwendbar 
sind, reduziert sich der Auf wand dieses Schritts daher auf 0(NEW_ATTS n 2 ). 

- Eintragen des neuen Attributs in die Attributtabelle: Dabei mussen alle Werte des abgeleiteten Attributs fiir samt- 
liche Lehrbeispiele berechnet werden. AuBerdem ist die Korrelation.des neuen Attributs mit dem aktuellen Zielat- 

20 tribut zu berechnen und in die Liste mit den Korrelationswerten einzusortieren. Es ergibt sich: 

Clarge '= 0(n.+ ATTS-MAX +m\6gm) (4.11) 

. Der Logarithrnus ist eine Folge davon, daB die Wertmenge des neuen Attributs - zwecks leichterer Auswertung 
25 z. B. des Wertehistogramms - sortiert abgelegt wird. 

Suche nach den neuen Bedingungen: Die Suchschleife lauft hier iiber alle vorhandenen maximal ATTSJvlAX 
Attribute und wird N_CONDS-mal ausgeflihrt. Entscheidend fiir den Aufwand dieses Schritts ist die rekursive Clu- 
ster-Suche (vgl. Abschnitt 4.2.4), die sowohl bei der Auswahl der Cluster-Intervalle als auch zur Berechnung der 
Klauselqualitatsfunktion benotigt wird. Zusarnmen mit den Tests der Regeln fiir Attribute, insbesondere daB jede 
30 Bedingung einen anderen Satz von Eingabeattributen verwendet, errechnet sich der Aufwand zu : 

Clarge = 0{N XONDS - ATTS.MAX ■ {N-CONDS • n + miogm)) (4.12) 

- Auswahl einer Klauselmenge als Hypothese: Die Suche nach geeigneten Teilmengen ist auf SELECT_MAX 
35 Durchlaufe begrenzt. Aufwandsentscheidend ist, daB beim Streichen und Wiedereinfiigen von Klauseln aus der 

bzw. in die Hypothese die Klauseltrefferzahlen aller Lehrbeispiele aktualisiert werden mussen: 

(4.13) 

40 Zusarnmen ergibt sich fiir den Zeitaufwand eines LARGE-Suchschritts folgende Aufwandsklasse, wobei die aktuelle 
Klauselzahl c noch durch ihre obere Schranke CLAUSES_MAX abgeschatzt ist: 

Clarge = Clarge + Charge + C\ ARGE + Cl ARGE + Cl ARGB 
45 = 0((n • ATTS-MAX) - (m + log ATTSMAX) . 

+NEW-ATTS • ATTSMAX 2 n 2 

+N-CONDS • ATTS-MAX • (N-CONDS • n + mlogm) 
^SELECT MAX ■ CLAUSES -MAX • m) (4.14) 

An (4.14) kann die Zunahme der Laufzeit in Abhangigkeit von den Eigenschaften n und m der Trainingsmenge und 
von.allen Parametern abgelesen werden. Wenn alie von n und m unabhangigen Parameter als Konstanten irh Sinne der O- 
Notation aufgefaBt und die beiden von n abhangigen Parameter N_CONDS und ATTS.MAX (vgl 4.2.7) durch n ersetzt 
werden, ergibt sich folgendes Ergebnis in n und m: 

55 

Clarge =0(n 4 +iAn log m) (4.15) 

Es ist festzustellen, daB der Aufwand polynomiell ist, die Anzahl der Eingabeattribute mit hochstens n 4 und die GroBe 
der Trainingsmenge insbesondere mit hochstens m log m in den Aufwand eingeht. Der eine der beiden n -Terme aus 
60 (4.14) gilt, wie erortert, auch nur fiir den "schlechten" Fall, daB viele Argumentkombinationen fur neue Attribute durch 
die Bildungsregeln abgelehnt werden - im besten Fall eines Erfolgs der hochstkorrelierten Attribute reduziert sich dieser 
Sumrnand auf n 2 . , 

4.2.9 Anwendungsbeispiele 

65 

In diesem Abschnitt werden einige Beispiele fiir die Anwendung von LARGE als isoliertem Lernverfahren vorge- 
stellt-unabhangig vom Problem des Protokollernens. 

Dazu wurdenTestdaten nach vorher festgelegten Regeln generiert und als Eingabe fiir LARGE verwendet, wobei dem 



CIargb = 0[jZNEW.ATTS{n + a k f-n) 
= 0{NEW.J±TTS ■ ATTS -MAX 2 n 2 ) 



CIargb = 0(SELECT.MAX ■ cm) 
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Algorithmus natiirlich keinerlei Informationen iiber die Erzeugungsregeln zur Verfugung standen. Insbesondere ist ihm 
die Zahi der Klassen unter den Eingabedaten, also die Anzahl der im Idealfall in der Hypothese erwarteten Klauseln, 
nicht vorgegeben. Die Lehrbeispiele verschiedener Klassen sindin der Train ingsmenge zufallig miteinander vermischt. 

Datensatz 1 5 

Figur A.42 zeigt irn linken Bildteil die Regeln zur Datenerzeugung fiir den ersten Beispieldatensatz. Die Regeln be- 
stehen fur jede der zwei Klassen aus je vier Gleichungen, von denen jede ein Eingabeattribut vi, . . v 4 festlegt. Die In- 
tervallnotation a. .b steht fur eine gleichverteilte zufallige Ziehung einer Zahl aus dem angegebenen Intervall, die restli- 
chen Komponenten umfassen die Verwendung anderer, schon bestimmter Eingabeattribute und arithmetische Operatio- 10 
nen. Wenn statt einer Bestimmungsgleichung eine Gleichungskette angegeben ist, dient alles ab dem zweiten Gleich- 
heitszeichen nur noch der kommentierenden Beschreibung zur besseren tibersicht - in diesem Fall ist die Gleichvertei- 
lung bei Intervallangaben nicht mehr unbedingt gegeben, weil mehrere zufallige Ziehungen uberlagert sein konnen. 

Im rechten Teil der Figur ist das Lemergebnis zu sehen. Die abgeleiteten Attribute sind hier in Termnotation angege- 
ben, mehrere Bedingungen einer Klausel trennt ein AND. In eckigen Klammern erscheint unter jeder Klausel zunachst 15 
die Zahl der Klauseltreffer, also die Machtigkeit der von dieser Klausel beschriebenen Klasse innerhalb der Trainings- 
menge. Hinter dem ersten Schragstrich steht die Anzahl der Diskriminationen, also der "Verkleinerungen" der Treffer- 
menge (vgl. 4.2.7). Der dritte Zahlenwert ist die Klauselqualitat gernaB Q. Man kann die Bewertung der Termkomplexi- 
tat in den Einer- und Zehnerstellen der Klauselqualitat nachvollziehen, die Komponente compl aus (4.6): Bei beiden 
Klauseln betragt die mittlere Anzahl Operatoren pro Bedingungsterm 5/5 = 1,0, so daB compl = 99 - 10 • 1,0 = 89. 20 

Die Lemaufgabe zeigt als besondere Schwierigkeit, daB die beiden Klassen im Attribut v x uberlappen und im Attribut 
v 2 mit etwa gleicher Beispieldichte direkt nebeneinander liegen. Trotzdem werden beide Klassen exakt diskriminiert. Die 
hdhere Klauselqualitat bei der ersten Klasse entsteht durch die bessere Auffalligkeitsbewertung der beiden ersten Einzel- 
wertbedingungen und die Ablehnung aller Beispiele der anderen Klasse durch diese beiden Biedingungen. Man erkennt, 
daB die Klauseln sowohl diskriminierende als auch deskriptive Bedingungen enthalten: In beiden Klauseln geniigt die je- 25 
weils erste Bedingung zur Klassendiskrimination. Die weiteren Bedingungen hat LARGE zur weitergehenden Charak- 
terisierung der jeweiligen Klasse erzeugt. Die Bedingungen sind nicht vollig frei von Redundanz, beispielsweise folgt 
die dritte Bedingung -4 < v 3 - v 2 < 0 in der ersten Klausel aus den Bedingungen zwei, v 4 - v 2 + v 3 = 0, und fiinf, 0 < v 4 
< 4. Dies ist moglich, weil nur die Regeln nach Abschnitt 4.2.6 und kein vollstandiger Ungleichungsumformer zur Ver- 
meidung redundanter Regeln eingesetzt werden. Immerhin verhindem die Bildungsregeln die Ableitung paarweise aqui- 30 
valenter Bedingungen. , 

Ein Versuch mitdenselben Klassen, aber 300 Beispielen im gleichen Verhaltnis liefert im wesentlichen das gleiche Er- 
gebnis, dargestellt in Figur A.43. 

Datensatz 2 35 

Figur A.44 zeigt die zweite Lemaufgabe, diesmal sogar mit vier Klassen. Urn die "Sicht" des Algorithmus auf die 
Lemaufgabe noch besser zu illustrieren, befindet sich in der Figur auch eine Tabelle mit einem Auszug aus der Trainings- 
menge, wie LARGE sie als Eingabe erhalt. 

. Atich hier werden alle charakteristischen Gleichungen gefunden. Gut kann man die tatsachlichen Extremwerte der zu- 40 
fallig gezogenen Attributwerte innerhalb der Trainingsmenge ablesen. Bei den beschreibenden Attributen ergeben sich 
zahlreiche Aussageh iiber die Summen der Zufallswerte, die zwar keine charakteristischen Eigenschaften der vorgege- 
berien Klassen sind* aber natiirlich zutreffende Aussagen iiber die Lehrbeispiele. Eine klarere Identirikation der Idee hin- 
ter der Klassenbeschreibung kann von einem Suchalgorithmus auch kaum erwartet werden. 

Tabelle 4.3 zeigt ein Protokoll der Lernschritte bis zur Ausgabe der Hypothese fur diese Lemaufgabe durch LARGE. 45 
Die Spalten der Tabelle bezeichnen die Zahl der Klauseln in C, die Zahl der Bedingungen in alien Klauseln, die Zahl der 
abgeleiteten Attribute (Terme), die Zahl der bereits akzeptierten Beispiele, die Gesamtzahl der Klauseltreffer einschlieB- 
lich Uberschneidungen, die aktuelle Lange der Teilmengen-Tabuliste sowie die Qualitat Q* der letzten Auswahl. Aus- 
wahl in der ersten Spalte kennzeichnet eine neue beste Auswahl, also eine neue Hypothese. 

Datensatz 3 

Figur A.45 stellt eine Lemaufgabe mit nur einer Klasse in der Trainingsmenge dar. LARGE erzeugt tatsachlich eine 
Hypothese mit nur einer Klausel, weil alle weiteren erzeugten Klauseln von der Klauselqualitat schlechter bewertet sind 
und auch keine uberlappungsfreie Klassifikation ergeben. 55 

Datensatz 4 

Das vierte Beispiel, zu sehen in Figur A.46, ist dahingehend besonders, daB zur Diskrimination der vier Klassen je- 
weils zwei Bedingungen erforderlich sind. Im Diagramm links unter der Datenbeschreibung sieht man, warum das so ist. 60 
Auch diese Diskriminations regeln erkennt LARGE durch iterative Isolation von Haufuhgen der Attributwerte. 

Laufzeit 

Nach den inhaltlichen Ergebnissen der vorangegangenen Unterabschnitte erfolgt jetzt noch eine Zusammenstellung 65 
der zugehorigen Laufzeiten. Die Zeiten wurden mit der LARGE-Testimplementierung unter Linux 2.0 auf einem Penti- 
umPro-basierten Rechner mit 200 MHz Takt gemessen. Tabelle 4.4 stellt die Ergebnisse dar. Man erkennt, daB die mit 
0(m log m) abgeschatzte Abhangigkeit von der GroBe der Trainingsmenge bei diesen Beispielen noch hinter einer line- 
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aren Zunahme zuriickbleibt. 

Tabelle 4.2 ■ 

Freie Variablen in den Termen fur den Laufzeitaufwand von LARGE 



Symbol 


Bedeutung 


n 


Anzahl der Attribute v u .., y v n pro Lehrbeispiel 
(Eingabeattribute). 


m 


Anzahl der Lehrbeispiele, m = \E\, 


c 


Anzahl der schon vorhandenen Klauseln in C\ 



TabeUe 4.3 
Lernprotokoll fiir Datensatz 2 . 



Srhritt 


Klau- 


Bedin- 


Terme 


Abdek- 


Treffer 


Tabus 


0* 




3CUI 


<7iin<TPn 

& U . IA 6 CU 












1 


1 


4 


. 4 


25 


25 


1 





2 


2 


8 


7 


30 


30 


2 




3 


3 


12 


8 


50 


55 


3 




4 


4 


16 


11 


74 


79 


4 




5 


5 


20 


14 


99 


178 


4 




6 


6 


24 


14 


99 


203 


4 




7 


6 


24 


14 


99 


203 


5 




8 


7 


28 


17 


99 


227 


4 




9 


8 


32 


17 


100 


252 


4 


664 


Auswahl 


4 


16 


17 


100 


100 


4 


664 


10 


9 


34 


17 


100 


278 


4 


652 


11 


10 


38 


17 


100 


293 


4 


646 


12 


10 


38 


17 


100 


293 


5 


646 


13 


10 


38 


18 


100 


199 


4 


643 


14 


10 


38 


15 


100 


199 


5 


643 


15 


10 


38 


16 


100 


199 


6 


643 



TabeUe 4.4 

Laufzeiten von LARGE bei den Lembeispielen 



Datensatz 


n 


m 


Schritte 


Zeit [si 


Zeit/Schritt Is] 


1 


4 


30 


9 


1,03 


0,114 


1 


4 


300 


11 


6,95 


0,632 


1 


4 


900 


8 


12,91 


1,614 


. 2 


3 


100 


15 


1,28 


0,085 


2 


3 


1000 


13 


. 7,43 


0,572 


3 


4 


100 


10 


2,41 


0,241 


4 


2 


400 


10 


0,22 


0,022 



4.3 Lernen des PDU-Typen-Automaten 

Dieser Abschnitt behandelt den anderen Teil der Protokoll-Lemaufgabe, den endlichen Automaten der PDU-Typen. 
Die folgenden Unterabschnitte geben noch einmal kurz die Spezifikation dieser Teilaufgabe an und b.eschreiben dann erst 
den Losungsansatz, die aufwandsoptimierte Form des Algorithmus und schlieBlich die Art der erzeugten Automaten. 
Dieser Algorithmus heifit InfSM Algorithmus (fur infer a [finite] state machine, Ableitung eines endlichen Automaten). 



62 



±s \-j x s s xvjkj x 

4.3.1 Spezifikation 

Die Ein-Ausgabe-Relation von InfSM laBt sich unmittelbar aus der Spezifikation der vollstandigen Protokoll-Lernauf- 
gabe in Abschnitt 4.1.1 ablesen. 

Eingabe: Eine Wort a = 04. . .a n e Z* aus n PDU-Typen, die beobachtete PDU-Sequenz ohne den Datenanteii. 5 
Ausgabe: Die Zustandsmenge S und die Transitionsrelation 8 C S x Z x S des zu lemenden Protpkollautornaten A (vgl. 
Abschnitt 4.1.1). S und 6 miissen a akzeptieren, also: 



3r 0l ... ,r„ G S (ro,a 1 ,ri),(r 1) a2,r 2 ),... ,(r n -i,a n} r n ) G 6 (4.16) 



4.3.2 Ansatz 
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Das Kernproblem bei der Konstruktion eines Automaten, der a akzeptiert, besteht darin, die Positionen i zwischen 
zwei aufeinanderfolgenden Symbolen a^* i in der Folge a mit Zustanden ri 6 S zu identifizieren, wobei S selbst ja 15 
noch zu bilden ist. Die PDU-TVpen-Folge gibt keine direkte Auskunft uber Kommunikationszustande, denn diese Zu- 
stande sind ein Konzept des Protokollentwurfs, ergeben sich also aus der Intention des Protokollentwicklers irn Hinblick 
auf die Protokollsemantik. Dem InfSM-Algorithmus bleibt als einziger Ansatzpunkt, Teilsequenzen von a miteinander 
zu vergleichen oder sonst irgendwie auf ihnen zu operieren. 

Eine sehr vorteilhafte Sicht fur die Automatenkonstruktion ist die, dafl jeder Zustand r e S gerade eine.Aquivalenz- 20 
klasse von Positionen in der PDU-Sequenz a darstellt. Fur die gesamte Zustandsmenge S bedeutet dies das folgende: Es 
wird eine Aquivalenzrelation 



25 



30 



35 



~C(0;...;n} 2 . 

eingefuhrt, so daB S als der Faktorraum von ~ identifiziert werden kann und ~ gerade die r t aus (4.16) definiert: 

sSf{0;...;n}/~ = {[»] | i e {0; . . . ;n}} 

e {0; . . . ; n} n = r i i ~ j (4.17) 

Wenn alle Zustande r ; in dieser Weise identifiziert sind, kann die Transitionsrelation 8 trivial aus ~ und a abgeleitet 
werden, so daB (4.16) automatisch erfullt ist: 

5*4 {([i-l), ai ,\i))\ie {l,... ,n}} (4.18) 

5 enthalt also alle Zustandsubergange zwischen Zustanden, die gemaB - in a aufeinanderfolgen, mit dem zwischen die- 
sen beiden Positionen in a stehenden Symbol als Kommunikationsprirnitive. Die denkbaren Extremfalle sind: 

1 . Der universelle Akzeptor mit einem einzigen Zustand (vgl. Figur A.38): 40 
~ = {0;...;n} 2 

S={[0]} 
5 = S x Lx S 

2. Der auf a beschrankte Akzeptor mit n + 1 Zustanden (vgl. Figur A.37): 

^ = {(0,0);(l,l);...;(n,n)} 45 

S = {({0}; {!});... ;{n}} 

S={({0},ao; (l});...;((n-l},a n , {n})} 

Bleibt zu klaren, wie sich eine Aquivalenzrelation — sinnvoll und effizient aus a ableiten laBt. 

Da — ahnliche Positionen in der PDU-Folge zusammenfaBt, ist sie auf der Grundlage eines AhnlichkeitsmaBes zu de- 50 
finieren. Fur die Ahnlichkeit zweier a-Positionen, d. h. fur ihre Zugehorigkeit zum selben Automatenzustand, spricht, 
wenn sie Gemeinsamkeiten in der unmittelbar vorausgegangenen oder unmittelbar nachfolgenden Teilsequenz von Sym- 
bolen aufweisen. Dies wird im folgenden als gemeinsames Prafix bzw. gemeinsames Post bezeichnet. Wenn zwei a-Po- 
sitionen i und j ein besonders langes gemeinsames Prafix haben, so ist es wahrscheinlich, daB an diesen beiden Stellen 
derselbe Kommunikationszustand vorlag. i und j konnen allerdings vollig verschiedene Postfixe zeigen, wenn der Proto- 55 
kollautomat unterschiedliche Folgezustande angenommen hat. i konnte aber z. B. im Postfix eine hohe Ubereinstimmung 
mit einer weiteren Position k zeigen und j mit einer Position 1. Wenn jetzt noch k und 1 ein langes gemeinsames Prafix tra- 
gen, ist es wahrscheinlich, daB alle vier Positionen zur selben Aquivalerizklasse, also zum selben Kommunikationszu- 
stand, gehoren sollten. Figur A.47 zeigt ein konkreteres Beispiel fur eine derartige Situation. 

Diese Uberlegungen deuten an, daB die zustandsbildenden Aquivalenzklassen durch den transiuven AbschluB einer 60 
Ahnlichkeitsrelation entstehen sollten. Die Ahnlichkeitsrelation ist zu definieren iiber ein AhniichkeitsmaB auf den Se- 
quenzpositionen, das sich aus der Lange gemeinsamer Pra- und Postfixe berechnet. 

Dieses AhniichkeitsmaB heiBe pp a (fur Prafix und Postfix) und wird folgendermaBen definiert: 

65 



63 



PPa ■ {0;... ;|a|} 2 ->N 

PPa(*>j) - PP«(*.j) + PPa(O') ( 419 > 



mit 



10 



PPa (*i j) = maX { Z I a t-z+l • • • = 1 • • • a i } 

PPt( l >l) ~ maX { Z | a i+l • • • Gt+z = • * • a i+z} 



Die Summe aus der Lange gemeinsamer Pra- und Postfixe entspricht natiirlich der groBten Lange einer Teilsequenz, 
innerhalb der oder an deren Ende die verglichenen Positionen liegen. 

Aus dem AhnlichkeitsmaB pp wird die Ahnlichkeitsrelation^ N , indem man eine Schwelle N e {0; . . .; n} fur die ge- 
15 forderte Ahnlichkeitsbewertung festlegt: 
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* N C {0;...;n} 2 
'i~N 3 <=> PPaihj) > N ( 42 °) 

Diese Ahnlichkeitsrelation ist aufgrund (4.19) zwar symmetrisch und reflexiv, aber nicht unbedingt transitiv und somit 
noch keine Aquivalenzrelation. Urn eine schwellenabhangige Zustandsrelation ~ N zu erhalten, miiBte die transitive 
Hulle von-^ N gebildet werden: 

25 ~ N d ~ t(^yv) 

InfSM macht diesen Schritt jedoch nicht direkt. Die Anzahl der gebildeten Aquivalenzklassen, also Zustande, wachst 
zwar monoton mit der Schwelle N, lafit sich aber ohne die Berechnung der transitiven Hulle kaum anhand der Schwelle 
abschatzen. Daher soli InfSM gleich eine Ahniichkeitsmatrix sim berechnen, aus der alle ~ N fur samtliche Schwellen 
30 unmittelbar ablesbar sind: 

sim : {0; . . . ; n} 2 N 

(4.21) 

Im Moment ist noch nicht vollig kiar, ob (4.21) eine widerspruchsfreie urid eindeutige Festlegung von sim darstellt. 
Die Kodierung aller Aquivalenzrelationen in sim ist zunachst nur eine Absicht. 
sim soil wie folgt berechnet werden: 

40 1 . Setze simo = pp a . 

2. Bilde sim z+ i durch 

5im z+ i(i, j) '= max min{sim z (i> k)\sim z {k, j)} (4.22) 

0<fc<n 

45 solange, bis sim z+ i = sim z . 

3 . sim ist gleich sim 2+ i . 

Die Operation in Schritt 2 entspricht ubrigens genau dem Quadrat von sim z als Matrix, wenn man die Multiplikation 
durch min und die Addition durch max ersetzt. Dies erlaubt eine verkiirzte Notation: 
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sim = lim {pp a ) z 

2— ► OO 



Theorem 7 



Der Bildungaigorithmus fur sim nach (4.22) terminiert. Die Interpretation von sim gemafi (4.21) liefert fur jede 
Schwelle N eine Aquivalenzrelation. 

Beweis 

Da die Hauptdiagonaleneintrage nach der Definition von pp (4.19) maximal in ihrer Zeile und Spalte sind, wird die 
rechte Seite von (4.22) durch den Fall k = i nie kleiner als 

min(sim z (i, i); sim z (i, j)} = sim z (i, j), 

die stets ganzzahligen Matrixelemente konnen also nur zunehmen, sind durch das globale Maximum in ppa aber nach 
oben beschrankt. Daraus folgt die Termination nach endlich vielen Iterationsschritten. 

Die in sim kodierten Relationen sind symmetrisch wegen der Symmetric von pp und der Vorschrift (4.22). Sie sind re- 
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X^X-J x s s J_ \J\J r~\ x 

flexiv, da die Elemente der Hauptdiagonale groBer oder gleich der groBten Schweile N = n sind. Die Transitivitat wird 
durch Widerspruch gezeigt: Angenommen, es existieren i, j, k, N, so daB 

sim(i, k) > N A sim(k, j) > N A sim(i, j) < N. 

5 

Dann ware im letzten Schritt nach (4.22) 
Sim z+1 (i, j) > min{sim 2 (i, k); sim 2 (k, j)} > N > sim^i, j), 

was einen Widerspruch zur Abbruchbedingung darstellt. 10 

DaB sim tatsachlich die transitiven Hiillen der^N kodiert, ergibt ein direkter Vergleich des Algorithmus (4.22) mit 
dern trivialen Verfahren zur Berechnung der transitiven Hiille fiir ein festes N: Genau dann, wenn ein Element k in Re- 
lation zu i und j steht, wird auch die Aquivalenz zwischen i und j eingetragen. 

Nach der Berechnung von sim konnen die resultierenden S und 8 fur jede Schweile N abgelesen werden. Dies erleich- 
tert die Wahl von N anhand einer Abschatzung der Zustandszahl, die eher a priori moglich ist als eine Vorgabe der Ahn- 15 
lichkeitsschwelle. Figur A.48 zeigt ein Beispiel fur die Veranderung eines abgeleiteten Automaten durch Einfuhrung ei- 
ner zusatzlichen Aquivalenz zwischen zwei Zustanden des ersteren. 



4.3.3 Optimierter Algorithmus 

Nach den bisherigen Angaben konnte InfSM schon direkt implementiert werden. Wegen der modifizierten Matrixmul- 
tiplikation, die iterativ durchgefuhrt wird, ergabe dies jedoch einen Laufzeitaufwand im schlimmsten Fall in der GroBen- 
ordnung 0(n 4 ), was nicht akzeptabel ist. Im folgenden wird der InfSM- Algorithmus mit dem oben spezifizierten Ergeb- 
nis, aber einem Laufzeitaufwand von hochstens 0(n 2 ) formuliert: 
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Prozedur lnfSM(a) 

a = ai . . . On : £* 

5 

- Berechnung des AhnlichkeitsmaBes pp 
Fiir d € 0 . . .n 

PP(0,d),pp{d h 0).<-0 
io c <- 0 

Fiir iE 1. . .n - - Prafixe 

Wenn a { = a^ d Dann cf-c + 1 Sonst c <- 0 
pp(*M + d),pp(i + c 
c <- 0 

Fiir i e d + 1 . - . n Absteigend - Postfixe 
Wenn ai_ d = Dann c c + 1 Sonst cf- 0 

c' <— pp(i — d - 1, z — 1) 
• pp(i - d — l,z — l),pp(z — l,i - d - 1) <r- c + d 



15 
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— Erzeugung der Klassenzuordnung M 

25 L «- {pp{i,j)\i> j G 0 . . .n} - atle Schwellen 

i& n 4- (list{j | pp(i,j) = iV}) - Matrix von Kantenlisten 
ffiiW... *~ (0) - Hilfsmatrix . 
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M id 0 ...n 
Fiir N e L Absteigend 

X range (M) - bisherige Reprasentanten 

35 M/v «- id x 

Fiir i € 0 . . . n — Kanten auf Reprasentanten umsetzen 

FiirjGA(JV,z) 

A'(JV, M(i». append(MO)) 
Fur ie0...n Wenn iel' - Reprasentant von [z] 

y <- {0 

Solange y ^ 0 Wiederhole - [i] traversieren 
Wahle j 6 y j wird expandiert 

Y<-r\{j} 

M?f(j) «- i - Zuordnung j € [z] eintragen 

Fiir k G A'(iV, j) j durch unbesuchte Nachbarn ersetzen 

50 Wenn k G X 

Y*-Y\j{k} 

X+-X\{k} 

yVf <- M/v o M mit bisheriger Zuordnung verketten 
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— Bildung des Automaten 
Wahle N in Abhangigkeit von | range(M/v)| 
60 S ^ range(Myv) 

5 <- {(M N (i - 1), a u M N (i)) | i G 1 . ,. n} 
Ausgabe S>8 
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Ende von InfSM 

Statt der AhnLichkeitsmatrix sim berechnet der dargestellte Algorithmus die Aquivalenzklassen-Zuordnungsfunktio- 
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nen M N , die zu jeder Sequenzposition bereits ein Kennzeichen der Aquivalenzklasse, also des Zustands, liefern: 

M N : {0;... ;n} -> {0; . . . ;n} (0 < N < n) 
M N (i) = M N (j) o sim{iJ)>N 5 

Kern des Algorithmus ist eine Schleife uber die sinnvollen Schwellenwerte, in der die Zustandsklassen iterativ kon- 
struiert werden, d. h. aus der durch Mn beschriebenen Zustandsmenge der Relation ~n, in die alle Ahnlichkeiten von N 
und dariiber eingegangen sind, wird im nachsten Schritt die Zustandsmenge der Relation ~ N _ t berechnet und in M^-i 
kodiert. Durch die GroBer-oder-gleich-Bedingung in (4.21) kann es dabei keine Anderungen auBer der Zusammenfas- 10 
sung von Klassen geben. 

Die Wahl einer angemessenen Ahnlichkeitsschwelle N wird weiter unter im Rahmen des Erlemens realer Protokollre- 
geln genauer behandelt. 

4.3.4 Aufwand 15 

Dieser Abschnitt erlautert, warum InfSM in der dargestellten Form eine Laufzeit von nicht mehr als 0(n 2 ) in der 
Lange der Eingabesequenz benotigt: 

- Bei der Berechnung des AhnlichkeitsmaBes pp wird ausgenutzt, daB eine mehrfach auf tretende Teilsequenz die 20 
Pra- und Postfixlangen fur mehrere Matrixeintrage in pp beeinfluBt. Die Symbolfolge a wird fiir jeden Vergleichs- 
abstand d je einmal vorwarts und ruckwarts durchlaufen, wobei die Matrix pp in diagorialen Streifen ausgefullt 
wird. Figur A.49 veranschaulicht diese Vorgehensweise. Weil die Schachtelungstiefe der Schleifen bei zwei liegt, . 
ergibt sich ein Aufwand von hochstens 0(n 2 ). 

- Ein wichtiger Schritt ist die anschlieBende Umordnung der vorkommenden Ahnlichkeitswerte in die Matrix X. 25 
AnschlieBend ist X(N y i) die Liste aller Knotennummern, die mit Knoten i die Ahnlichkeit N haben (pp(i, j) = N). Da 
nur (n + 1) 2 Indizes.einzutragen sind, die hochste Ahnlichkeit n betragt und das Anfiigen an eine Liste ohne weiteres 
mit konstantem Aufwand moglich ist, ergibt sich wiederum 0(n 2 ) Zeitbedarf . 

- Der erste Teilschritt der Klassehbildung ist die Berechnung der Kantenlistenmatrix X', die dieselbe Struktur wie X 
aufweist, in der aber alle Kanten mit einer Ahnlichkeit von genau N auf die Klassenreprasentanten der letzten Zer- 30 
legung M "umgehangt" werden: Alle Kanten von und zu einer M-Klasse werden dem Reprasentantenknoten zuge- 
ordnet; Fiir Reprasentantenknoten i gilt M(i) = i. Die append-Operation muB fur den gesamten Algorithmus hoch- 
stens (n + l) 2 -mal ausgefuhrt werden, weil nur so viele Kanten in X vorhanden sind, Aufwand also 0(n 2 ). 

Figur A.50 stellt die Folge der Teilschritte fiir den Ubergang von N = 3 zu N = 2 beispielhaft dar. In dieser Figur sind 
Reprasentantenknoten ausgefullt gezeichnet, wahrend die restlichen Knoten j einer Klasse mit M(j), dem Index des 35 
Reprasentantenknotens als Kennzeichen ihrer Klasse, markiert sind. 

- Nun wird nacheinander von jedem in X vermerkten Reprasentantenknoten der Zerlegung M jeweils die zugeho- 
rige Aquivalenzklasse entlang der Kanten mit pp(i, j) = N traversiert. Knotenindex i wird zum Kennzeichen dieser 
Klasse. Y dient als Knotenspeicher f ur die verwendete Breitensuche. Eritscheidend fur den Aufwand dieses Teils ist 

der Rumpf der innersten Schleife (Fur k. . ,): Durch die Loschung der schon besuchten Knoten aus X wird pro Ann- 40 
lichkeitsschwelle N kein Knoten j doppelt expandiert Insgesamt gibt es in V aber nur (n+,1) 2 Kanten, so daB der in-. 
nerste Schleifenrumpf auch nur so oft durchlaufen werden kann und der Aufwand durch 0(n 2 ) beschrankt bleibt. 

- Mn enthalt zunachst nur die neuen : 2usarnmenfassungen von M-Reprasentanten gemaB N-Kanten. Die resultie- 
rende Zerlegung rnit korrekten Klassenkennzeichen fiir alle Knoten erhalt man erst durch die Komposition Mn O 

M (siehe auch Figur A.50). Die O-Operation benotigt n +.1 Elementaroperationen, weil M auf so vielen Stellen de- 45 
finiert ist, und wird in der auBersten Schleife hochstens n-mai ausgefuhrt. Daraus fblgt ein Zeitaufwand von 0(n 2 ). 

- Der kritische Aspekt sind die Operationen auf den Knotenmengen X bzw. Y: Die Loschoperationen aus X miissen 
offenbar mit konstantem Aufwand erfolgen, damit die angegebene Aufwandsabschatzung gilt. Dies ist leicht mog- 
lich, wenn X z. B mit Hilfe eines Bitvektors reprasentiert wird. Aus diesem Grund wurde eine Schleife der Form 
"Solange X =t 0" vermieden, denn dieser Test ist bei einem Bitvektor nicht mit konstantem Aufwand durchfuhrbar. 50 
Statt dessen wurde die Schleife uber die Mitglieder von X als Fur-Schleife mit explizitem Mitgliedstest notiert - 
was naturlich dazu fuhrt, daB bereits deren Rumpf 0(n 2 )-mal ausgefuhrt wird. Die innere Schleife uber die Mitglie- 
der von Y darf pro Element nun nur noch konstanten Aufwand haben, was man mit einer Reprasentation von Yz.B. 

als verzeigerter Keller erreichen kann. Auf Y finden nur der Test auf die leere Menge, das Einfiigen eines bisher 
nicht enthaltenen Elements sowie die kombinierte Auswahl und Loschung eines beliebigen Elements statt. Alle 55 
diese Operationen verursachen in einer ublichen Kellerimplementierung nur konstanten Aufwand. 

Da alle.beschriebenen Teilaufwande additiv zum Gesamtaufwand von InfSM zusammengefaBt werden, ist auch dieser 
schlimmstenfalls quadratisch: 

60 

C, n fSM = 0(n 2 ) (4.23) 

4.3.5 Eigenschaften des gelernten Automaten 

65 

Die zustandsbildende Aquivalenzrelation zwischen den Sequenzpositionen als Lange gemeinsamer umgebender Teil- 
sequenzen verkorpert eine recht intuitive Definition der Automatenzustande. Nun stellt sich die Frage nach Eigenschaf- 
ten der auf diese Weise automatisch erzeugten endlichen Automaten. 
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U£ iyy 100 A i 

Aus der Automatentheorie ist bekannt, daB deterministische endliche Automaten (DEA) als Spezialfalle nichtdetermi- 
nistischer endlic her Automaten (NEA) die gleiche Machtigkeit hinsichtlich der modellierbaren Sprachen aufweisen, daB 
also jeder endliche Automat in einen aquivalenten DEA iiberfuhrt werden kann. Der wesentliche Vorteil eines DEA ist, 
daB von einem bekannten Zwischenzustand aus der jeweilige Folgezustand stets eindeutig durch das verarbeitete Symbol 
5 bestimmt wird. Formal sind DBAs gegeniiber aquivalenten NEAs dadurch ausgezeichnet, daB der konstruktive Algorith- 
mus zur Umformung eines NEA in einen aquivalenten DEA aus k Zustanden des NEA bis zu 2* Zustande des DEA 
macht, namlich gerade die Potenzmenge des ursprunglichen Zustandsraums. 

Die von InfSM erzeugten endlichen Automaten sind im allgemeinen NEAs. Die folgende Betrachtung des Algorith- 
mus soil jedoch zeigen, daB InfSM "haufig" deterministische Transitionen konstruiert. Ein gutes MaJ3 dafiir, "wie M nicht- 
10 deterministisch ein gegebener NEA ist, biidet die Zahl der Zustands-Symbol-Paare (r, a), fur die merir als ein Tripel (r, a, 
r') e 5 existiert. Es soil daher eine notwendige Bedingung dafiir ermittelt werden, daB (r, a) ein nichtdeterministisches 
Zustands-Symbol-Paar in der Transitionsrelation des rnit InfSM erzeugten NEA A biidet. 

Angenommen, (r, a) ist ein solches nichtdeterministisches Zustands-Symbol-Paar. Dann existieren in der erzeugten 
Relation 5 zwei Tripel 

15 

(r, a, n), (r, a, r 2 ) e 5, (r, r x , r 2 e S, r x * r 2 , a e £) 

Oder, bezogen auf die Eingabesequenz a und die Position szerlegung M mit range(M) = S, 
20 (M(i - 1), a if M(i)) e 5, (M(i - 1), a i7 M(j)) = (M(j - 1), a j7 M(j)) e 5, M(i) * M(j). 

Wegen M(i - 1) = M(j - 1) und weil M die Sequenzpositiohen in Aquivalenzklassen zerlegt, existiert eine Folge 
(uk)k € i. <z von Sequenzpositionen, so daB 

25 pp(i - 1, m0 > N A pp(Mi, u 2 ) > N A . . . A pp(u 2 _ x , u 2 ) > N A pp(u z , j - 1) > N, 

wobei N die gewahlte Ahnlichkeitsschwelle ist. Ferner muB sim(i, j) < N gelten, sonst ware i~ N j, und die Folgezustande 
r 2 und r 2 waren von InfSM zum selben Zustand zusammengefaBt worden. 
Wegen a^ = aj gilt aber: 
30 pp"(i, u x + 1) = pp"(i - 1 , u0 + 1 (Prafixlange) 
pp + (i, U! + 1) = pp + (i - 1, uO - 1 (Postfixlange) 
PP"G> Mz + 1) = PP"0 ~ ^ Mz) + 1 (Prafixlange) 
pp*(j, Mz + 1) = PP + (j ~ 1» Mz) - 1 (Postfixlange) 
=> 

35 pp(a, ui + 1) = pp(2 - 1, Mi) — N 

PPQ, Mz + 1) = PPG ^ u z) ^ N 

Wenn nun aber z = 1, so folgt daraus sim(i, j) > N, also doch sim(i, j) > N und mithin r x = M(i) = M(j) = r 2 , Wider- 

spruch! Es laBt sich also formulieren: 

Wenn (r, a, ri), (r, a, r 2 ) zwei nichtdeterrninistische Ubergange zum Zustands-Symbol-Paar (r, a) sind, dann kann es 

40 zwischen den zugehorigen Sequenzpositionen i, j mit r = M(i) = M(j) nur Pf ade mit mindestens zwei Zwischenpositionen 
geben, die i und j iiber die Ahnlichkeitsrelation^ N - vor Bildung der transitiven Hulle - verbinden. 

Praktisch bedeutet dies aber, daB bereits eine hinreichend vollstandige Eingabesequenz a einen DEA als Lernergebnis 
gewahrleistet: Wenn a von einem DEA A 0 erzeugt wurde und fiir jeden Zustand q von Ao samtliche Kombinationen der 
moglichen N-stelligen Prafixe und Postfixe zu q mindestens einmal in a vorkommen, so erfolgt die Bildung der transiti- 

45 ven Hulle von^ N grundsatzlich iiber hochstens eine Zwischenposition - der gelernte Automat A ist dann determini- 
stisch. Die praktischen Ergebnisse am Ende dieses Kapitels werden zeigen, wie gut dieser Idealfall in der Realitat apprd- 
ximiertwird. 
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4.3.6 Bewertung 



Hier sollen die theoretischen Ergebnisse zu InfSM in einen Zusammenhang gestellt werden. 
Die Ahnlichkeitsrelation liefert eine pro Schwellenwert eindeutige Zerlegung in Aquivalenzklassen, mithin einen ein- 
deutig definierten endlichen Automaten. 

Den Zustand eines endlichen Automaten als die Aquiyaienzklasse der ahnlichsten Vor- und Folgeverhalten zu iriter- 
55 pretieren, erscheint als eine naturliche und globale, wohldefinierte und leicht nachvollziehbare Sicht auf das Konzept des 
Zustands'. Es spricht einiges dafiir, die nach diesem Kriterium erhaitenen Automaten hinsichtlich der Aussagekraft ihrer 
Zustande als optimal einzustufen. 

Modulo dieses Optimalitatsbegriffs laBt sich daher zusammenfassen, daB InfSM - mit einem Aufwand von D(n ) in 
der Lange der Eingabesequenz - alle optimaien endlichen Automaten findet, die die Eingabesequenz akzeprieren. Unab- 
60 hangig vom InfSM- Aigorithmus gilt also ganz allgemein, daB jedes Wort eine Familie optimaler NEAs definiert, die sich 
paarweise in der Zahl ihrer Zustande unterscheiden. Bei einer giinstiger Eingabesequenz werden sogar deterministische 
Automaten konstruiert. 
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4.4 Protokollregelerwerb 

Dieser Abschnitt beschreibt, wie die oben entwickelten Algorithmen LARGE und InfSM gemeinsam zur Losung der 
Protokoll-Lemaufgabe engesetzt werden kbnnen. 

Zunachst wird angegeben, wie man LARGE und InfSM in einen konkreten Lern aigorithmus integriert Weitere Unter- 
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abschnitte thematisieren die Behandlung sehr groBer Beispielverhalten und die Kontrolle der Zustandszahl, die InfSM in 
Abhangigkeit von der Ahnlichkeitsschwelle liefert. 

4.4.1 Vorgehensweise 

5 

Figur A.51 zeigt eine grobe Skizze des kombinierten Algorithmus zum Protokoll-Lernen. Wegen der Notation verglei- 
che Abschnitt 4.1.1. In der tatsachlichen Irnplementierung wird zusatzlich eine minimale Haufigkeit h angegeben, rnit 
der eine PDU-Typen-Sequenz (i vorkommen muB, damit eine Ableitung von Attributregeln mittels LARGE sinnvoll 
durchgefuhrt werden kann. |}-Sequenzen, die zu selten in p aufgetreten sind, werden so lange von links verkurzt, bis die 
Haufigkeitsschwelle h erreicht wird. Dadurch kommen in der resultierenden Protokollmaschine auch Attributregeln uber 10 
weniger PDUs als die vorgegebene FenstergroBe w vor. 

Wahrend InfSM direkt und nur einmalig eingesetzt wird, muB LARGE fur jeden Zustand s und jede in s endende Folge 
P von w PDTJ-Typen getrennt aufgerufen werden, und zwar mit den Attributvektoren aller Falle aus der Beobachtung p, . 
in denen der Zustand i mit einem Auftreten von P erreicht wird. Die Entscheidung, ob ein konkretes Auftreten von p in p 
tatsachlich in Zustand i endet, kann sehr leicht anhand der aus InfSM erhaltenen Abbildung M von Sequenzpositionen 15 
auf Zustande getroffen werden. Dies erspart ein zusatzliches Parsieren der Beobachtung rnit dem gerade abgeleiteten Au- 
tomaten, das ohne die Kenntnis von M erforderlich ware. 

4.4.2 InkrementeUe Automatenableitung 

20 

Der Aufwand von 0(n 2 ) fur den InfSM Algorithmus ist zwar grundsatzlich "gutmutig polynomiell". Fur lange Bei- 
spielbeobachtungen, die nach dem bisher beschriebenen Konzept in einem Durchiauf von InfSM komplett zu bearbeiten 
waren, wachst jedoch selbst dieser quadratische Aufwand zu schnell. Ubrigens gilt 0(n 2 ) nicht nur fur den Zeit-, sondern 
auch fur den Speicheraufwand, weil die Relationsmatrix der Ahnlichkeitsrelation gespeichert werden muB. Schon bei 
1 .000 beobachteten PDUs sind dies eine Million Matrixeintrage, was beim Arbeitsspeicher heutiger Arbeitsplatzrechner 25 
noch kein Problem darstellt. Aber bei 10.000 PDUs sind das schon 100 Millionen Eintrage. Man sieht, daB InfSM fur die 
direkte Verwendung der kompletten Eingabesequenz nicht in jedem Fall geeignet ist. Dies gilt vor allem deshalb, weil 
der LARGE- Algorithmus pro Zustand s und hinfuhrender PDU-Sequenz p nur einen kleinen Bruchteil der Beispielse- 
quenz als Eingabe erhalt: Hinreichend groBe Training smengen, urn mit LARGE vernunftige Regeln fur die PDU-Attri- 
bute abzuleiten, erfordern also eine sehr lange Beobachtung p. 30 

Daher wurde ein Verfahren entwickelt, mit dessen Hilfe InfSM iterativ auf einzelne Teilabschnitte der beobachteten 
PDU-Typen-Folge angewendet werden kann. Leider eignet sieh InfSM auf grund seiner ganzheitlichen Sicht auf die Ein- 
g abesequenz uber die Ahnlichkeitsrelation relativ schlecht fur eine inkrementelle Arbeitsweise, bei der die bisherige Hy- 
pothese anhand neu eintreffender Symbole angepaBt werden muBte. Der verwendete Algorithmus heiBt InfSM* und ist 
in Figur A.52 dargestel.lt, Seine Idee besteht darin, die InfSM-Prozedur nacheinander auf einzelne Abschnitte der Einga- 35 
besequenz a einer festen FenstergroBe N anzuwenden. Um die bei den einzelnen InfSM-Laufen erhaltenen Zustande 
miteinander identifizieren zu konnen, ohne daB ein topologischer Vergleich der beiden. Zustandsgraphen erfolgen muB, 
verwendet InfSM* einfach uberlappende Abschnitte: Das Fenster wird pro Schritt nur um die halbe Fensterbreite weiter- 
geschoben. Dadurch lassen sich die Zustandsklassen in der ersten Halfte eines Folge abschnitts uber die Sequenzpositio- 
nen rnit den Zustanden des vorangegangenen Abschnitts identifizieren. Mit Hilfe der von InfSM ermittelten abschnitts- 40 
internen AhnlichkeitsmaBe wird die Verbindung zur zweiten Fensterhalfte hergestellt. 

Figur A.53 zeigt die verschiedenen Falle, die auftreten, wenn ein einzemer Fiinfctionswert der Zuordnungsfunktion M 
von Sequenzpositionen zu Zustanden eines Teilabschnitts in die glob ale Zuordnungsfunktion G integriert wird - Im Fall a 
ist die aktuelle Position so wo hi in M als auch in der zusammengefaBten Funktion G ein Zustandsreprasentant, es erfolgt 
keine Anderung. Im Fall b wird eine Zustandsabbildung aus M in die an dieser Stelle noch nicht geanderte Funktion G 45 
ubertragen, wie dies insbesondere in der zweiten Halfte des M-Fensters vorkommt, wenn der entsprechende G-Bereich 
erstmalig bearbeitet wird. Bei c dagegen sind schon Zuordnungen in G eingetragen, die Position k 2 - in G bisher noch 
Zustandsreprasentant - wird aufgrund einer Aquivalenz in M der Position k a zugeordnet. In d schlieBlich ist dargestellt, 
daB auch zwei bereits bearbeitete Zustandsreprasentanten -und mitihnen die zugehorigen Aquivalenzklassen durch eine 
Aquivalenz in M zusammengef aBt werden konnen. Dies bedeutet, daB alle auf - ki verweisenden G-Eintrage spater auf 50 
ki umzusetzen sind. In diesem Fall bleibt in G aber zunachst ein Pfad mit einer Lange groBer als eins zuriick; dies ist der 
Grund, warum der Algorithmus mit den beiden Solange-Schleifen nach den Reprasentantenknoten in G suchen muB und 
warum in G abschlieBend alle Verweise nochmals auf die jeweilige Pfadwurzel umgesetzt werden. In M kommen solche 
Pfade nicht vor, dort geht jeder Verweis von Anfang an direkt zum Reprasentanten. 

Diese Vorgehensweise zur inkrementellen Anwendung von InfSM hat den groBen Vorteil, daB als Resultat des gesam- 55 
ten Algorithmus wiederum eine Zuordnung von Sequenzpositionen - uber die gesamte Eingabesequenz - zu den Zustan- 
den des gebildeten Automaten vorliegt. Es ist also zu jeder PDU bereits bekannt, in welchen Zustand sie den Protokoll- 
automaten bringt. Die gewahlte Verknupfungsstrategie ist auBerdem eine logische Erweiterung des InfSM- Verfahrens: 
Die bereits festgestellten Aquivalenzen werden unter Forderung nach Transitivitat iiber die gesamte PDU-Sequenz pro- 
pagiert. Wenn die charakteristischen PDU-Sequenzen mehrmals innerhalb aller Fensterabschnitte vorkommen, liefert 60 
InfSM* also dasselbe Ergebnis wie ein einzelner InfSM-Lauf uber die gesamte Eingabe. 

Bei konstant gesetzter FenstergroBe wachst die Rechenzeit fur die InfSM-Laufe nur noch linear mit der Eingabelan- 
gen. Alierdings ist der Zeitaufwand der beiden inneren Solange-Schleifen im schlimmsten Fall nicht konstant, weil in G 
ja langere Verweispfade auftreten konnen. Diese entstehen jedoch nur im Fall d von Figur A.53, wo jeweils zwei bishe- 
rige G-Zustande zu einem einzigen vereinigt werden. Die Anzahl solcher Zustandsvereinigungen im nachhinein ist zu- 65 
mindest durch die Anzahl der pro InfSM-Lauf erzeugten Zustande beschrankt. Sie konnen uberhaupt nur dann auftreten, • 
wenn in einem Folgeabschnitt neue Teilsequenzen auftreten. In der Praxis bleibt die mittlere Zahl der Durchiauf e der bei- 
den Solange-Schleifen also sehr gering. Der Speicheraufwand von InfSM* ist bei konstanter FenstergroBe im ubrigen auf 
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jeden Fall nur 0(n). 

4.4.3 Sonderbehandlung der Sequenzrander 

5 Der Anfang bzw. das Ende der beobachteten PDU-Sequenz a sind in bezug auf das AhnlichkeitsmaB pp (4.19) "be- 
nachteiligt", weil Prafix- bzw. Postfixahnlichkeiten iiber die Sequenzgrenzen hinaus nicht existieren. Dies kann dazu fuh- 
ren, daB die Zuordnung einiger der ersten und letzten Sequenzpositionen zu einer Aquivalenzklasse nur aus diesem 
Grund unterbleibt. Als konkrete Auswirkung konnten sich "Sackgassen" im abgeleiteten Automaten fur den Beginn und 
das Ende der Beispielsequenz ergeben. 

10 Als GegenmaBnahme gegen diesen unerwiinschten Effekt werden die ersten und letzten N 0 Sequenzpositionen in a 
nicht zur Bildung von Zustanden des abgeleiteten Automaten A herangezogen. Fur N 0 verwendet InfSM* den maxima- 
len Wert der verwendeten Ahnlichkeitsschwelle N aller InfSM-Durchlaufe. Zwischen den so festgelegten Randabschnit- 
ten sind die Prafix- bzw. Postfixahnlichkeiten nicht mehr in einer Weise eingeschrankt, die sich auf die resultierende 
Ahniichkeitsrelation auswirken konnte. 

15 

4.4.4 Implementierung 

Der Prototyp des Protokollerners wurde in C++ mit Hilfe der Bibliothek LED A (library of efficient data types and al- 
gorithms, Bibliothek efflzienter Datentypen und Algorithmen) [MNU] und mit einer grafischen Benutzerschnittstelle in 

20 Tcl/Tk implementiert. Figur A.54 zeigt ein Beispiel fur die Bildschirrnanzeige des Lernprogramms. 

Dank der LEDA-Bibliothek kann insbesondere der Zustandsgraph des erlernten Automaten sehr effizient und sehr 
ubersichtlich mit Hilfe des LEDA-Datentyps GRAPH algorithmisch bearbeitet und schlieBlich auf Datentrager abgelegt 
werden. Als Kantenmarkierungen dienen die PDU-Typen, als Knotenmarkierungen treten Klausellisten von LARGE in 
umgekehrt polnischer Notation auf. Figur A. 55 zeigt beispielhaft Ausschnitte aus einem gelernten Protokpllautomaten 

25 mit Attributregeln. Der obere Teil gehort zur Knotenbeschreibung, der untere zur Kantenbeschreibung. Diese textuelle 
Notation konnen auch die LEDA-Werkzeuge zur Visualisierung von Graphen direkt lesen; alle Abbildungen von Zu- 
standsgraphen im vorliegenden Dokument sind auf diese Weise entstanden. 

4.5 Analysephase 

30 

In der Analysephase muB der gelernte Automat A schlieBlich zur Prufung eines neuen, potentiell fehlerbehafteten 
Kommunikationsverkehrs verwendet werden. Diese Phase kennzeichnet die eigentliche Anwendung eines lernfahigen 
Spuranalysesy stems und entspricht vorh Einsatzkontext her dem in Abschnitt 2.2.1 dargestellten Szenario fur den kon- 
ventionellen Spuranalysator, der ersten Teilaufgabe dieser Arbeit. 
35 Formal spezifiziert wurde die Anwendungsphase bereits in Abschnitt 4.1.1 iiber das bc-Pradikat (4.2). Hier soil die al- 
gorithmische Realisierung erlautert werden. 

Weil der Automat A nur die von InfSM erzeugten Basiszustande unterscheidet und die restlichen Protokollregeln nicht 
zustands-, sondern kontextbasiert modelliert, ist das Aufsetzen auf eine laufende Kommunikationsvefbindung hier we- 
sentlich einfacher als beim FollowSM-Verfahren, das ja auf erweiterten endlichen Automaten basiert. Neb en dem unge- 
40 wissen Anfangszustand konnen nichtdeterministische Transitionen zu M^brdeutigkeiten beim aktuellen Basiszustand 
fiihren, Aber selbst bei einem DEA existiert keine obere Schranke fiir Zahl der zu beobachtenden PDUs, bis sich der ak- 
tuelle Basiszustand eindeutig bestimmen laBt. Figur A.5j5 zeigt ein Beispiel fiir einen deterministischen Protokollauto- 
- maten und eine Beobachtung, die sich vom Automaten mehrdeutig parsieren laBt. 
Der Analysealgorithmus funktioniert daher so: 

45 

1 . Beginne mit einer Zustandsmenge X = S, die die moglichen aktuellen Basiszustande von A beschreibt. 

2. Lies die nachste PDU K der Beobachtung. 

3. Bilde X' als Menge aller Zustande s e.E, die 

- von einem Zustand aus X liber das Symbol a K , den PDU-Typ von 7C, gemaB 5 A erreicht werden konnen und 
50 - deren Attributpradikat G) A (s) die Attributierung der letzten w PDUs einschlieBlich K akzeptiert. 

4. Melde einen ProtokollverstoB, wenn X' = 0, und fange wieder bei Schritt 1 an. 

5 . Setze X ^- X" und gehe zu Schritt 2. 

Wenn vom LARGE- Algorithmus fiir einen Zustand s und eine bestimmte PDTJ-Typen-Folge (i, mit der s erreicht wer- 
55 den kann, kein ok-Pradikat erzeugt wurde, erfolgt keine Fehlermeldung. Die Analyse begniigt sich in einer solchen Si- 
tuation mit der Prufung der Abfolge der PDU-Typen. 

Der Aufwand pro PDU liegt bei hochstens k • IXI ok-Klausel- Auswertungen, wenn k die maximale Zahl der Klauseln 
pro PDU-Kombination in einem Zustand bezeichnet. Da k fiir den gelernten Automaten A konstant ist und IXI durch die 
Zustandszahl ISI beschrankt, ist der Zeitaufwand fiir die Analysephase linear in der Lange der Beobachtung. In der Praxis 
60 wird IXI im Mittel sogar nahe bei 1 liegen. Im Vergleich zur Lemphase ist der Einsatz des gebildeten Analysators also 
sehr effizient. 

4.6 Praktische Anwendung 

65 Dieser Abschnitt beschreibt experimentelle Erfahrungen mit dem Prototyp des Pro tokoll-Lernsys terns. Dabei kamen 
einerseits das Schicht-2-Protokoll der Breitband-ISDN-Signalisierung an der Tbilnehmer-Netzwerk-Schnittstelle nach 
Q.2110 [IT94a], das Protokoll SSCOP (service specific connection-oriented procedure, dienstspezifische verbindungs- 
orientierte Prozedur), und andererseits das Internet-Transportprotokoll TCP (transmission control protocol, Ubertra- 
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gungssteuerungsprotokoll) [Pos80] zum Einsatz. 

4.6.1 Versuche init SSCOP 

Dieser Abschnitt beschreibt die Lernversuche mit dem Protokoll SSCOP. 5 
Da die SSCOP einen selektiven Bestaugungsmechanismus mit einem Sequenznuirirnernraum von I 24 Elementen und 

bin zum Datentransport teilweise asynchrones Nachfrage- und Bestatigungsschema beinhaltet, stellt sie ein besonders 

gutes Testbeispiel fur die arithmetischen Regeln fur die PDU-Feldinhalte dar, wie sie von LARGE erzeugt werden. 
Das grbBte durchgefuhrte Experiment verwendete eine PDU-Sequenz aus n = 1953 PDUs des Protokolls SSCOP, die 

aus einer programmahnlichen Beschreibung wesentlicher Protokollprozeduren erzeugt wurde, mit deren Hilfe pro Pro- 10 

tokollprozedur wechselnde PDU-Feldinhalte zustande kamen ([Hat98]). 

Abstraktionsgrad des Basisautomaten 

Tabelle 4.5 gibt einen Uberblick iiber den Zusammenhang zwischen dem Schwellenwert N fur die Zustandsaquivalenz i5 
und der GroBe der gelernten Automaten im "interessanten" Bereich. Zusatzlich sind die Anzahl der Kanten im Zustands- 
graphen, also die Zahl der Transitionen des gelernten Automaten, sowie die Anzahl der Zustands-Eingabe-Paare ange- 
geben, fur die es jeweils mehrere mogliche Folgezustande gibt. In der Tabelle sind letztere als "nichtdeterministische Si- 
tuationen" bezeichnet. 

20 

Tabelle 4.5 

Verschiedene endliche Automaten fur SSCOP in Abhangigkeit von der Ahnlichkeitsschwelle N 



Schwelle 


Zustande 


Kanten 


nichtdet. 


Figur 
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3 
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10 


23 
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A.59 
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10 


23 
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A.59 
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22 
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In diesen Versuchen wurde InfSM in einem einzigen Lauf uber die gesamte Eingabesequenz ausgefuhrt. Bei einem 
InfSM-Fenster von 1000 PDUs und einer daraus resultierenden Anwendung von InfSM* mit vier uberlappenden Teilse- 
quenzen (siehe Abschnitt 4.4.2) erg ab sich jedoch stets derselbe Automat. Die Zahlen zu den nichtdeterministischen Si- 
tuationen in der Tabelle zeigen, daB die in Abschnitt 4.3.5 angestellten theoretischen Uberlegungen, warum InfSM "be- 40 
vorzugt" deterministische Transitionen bildet, in der Praxis bestatigt werden. 

Die Figuren A.57 bis A.59 zeigen drei verschiedene dieser abgeleiteten endlic hen Automaten als Zustandsgraphen. 
Die SSCOP-PDU-Typen sind nut den Suffixeh _i (input) bzw. _q (output) als Ein- bzw. Ausgabe-PDUs gekennzeichnet. ' 
Figur A. 60 bietet eine grafische Darstellung des Zusammenhangs zwischen der Schwelle N und der AutomatengroBe IS I 
fur einen groBeren Wertebereich von N. Die ISI-Achse ist hier logarithmisch skaliert, weil die Zustandszahl mit zuneh- 45 
mender Schwelle den sinnvollen Bereich sehr schnell verlaBt. : 

Fur die Wahl einer sinnvolien Ahnlichkeitsschwelle N bestand ursprunglich die Idee, daB der Verlauf der Zustandszahl 
in Abhangigkeit von N einen RiickschluB auf die "richtige" Schwelle zulassen konnte - und damit auf die Zahl der Ba- 
siszustande, die der tatsachliche Protokollautomat in der IUT verwendet. Leider hat sich dieser RiickschluB als nicht all- 
gemein moglich erwiesen, wie insbesondere das hier beschriebene Experiment zeigt: Erstens nimmt die Zustandszahl in 50 
recht groben Schritten ab, Zwischenwerte sind aufgrund der Definition des AhnlichkeitsmaBes pp (4.19) nicht moglich. 
Zweitens ist die einzige - allerdings deutliche - AufFalligkeit im Diagramm A.60, namlich die fur N = 2.und N = 3 iden- 
tischen resultierenden Automaten mit IS I = 10 Zustanden, gerade kein Hinweis auf einen besonderen Attraktor innerhalb 
der Zu stands zahlen, der auch aus Anwendungssicht ein Optimum darstellt. Denn ein Blick auf den in Figur A.59 darge- 
stellten Automaten mit 10 Zustanden zeigt, daB hier bereits wesentliche Zustande der Protokollmaschine im Standarddo- 55 
kument zusammengefaBt worden sind: Zustand 0 bildet den Grundzustand der Kommunikation, der offenbar mit dem 
Zustand 10 (data transfer ready, bereit zum Datentransport) aus dem Q.21 lb-Standard identifiziert werden kann. Aber 
auch nach einem Abbau der Verbindung durch das Paar END_i, ENDAK_o (Eingabe einer Abbauanforderung gefolgt 
von der Ausgabe einer Abbaubestatigung) landet der gelernte Automat uber den Zustand 4 wieder im Zustand 0. 

Daher muB der Schwellenwert N an hand einer vom Benutzer als Parameter vorgegebenen maximalen Zustandszahl er- 60 
mittelt werden. "Falsche" Automaten entstehen bei ungeschickter Schwellenwahl nicht, die Spezifikation fur das Ergeb- 
nis des Protokollemens (vgl. Abschnitt 4.1.1) wird immer erfullt. GroBere Zustandzahlen erhohen die Genauigkeit der 
gelernten Automaten, aber auch das Risiko des overfitting - des Lemens von Eigenschaften, die die Trainingsmenge, . 
aber nicht das Zielkonzept des Protokolls charakterisieren. 

Immerhin lassen sich bereits in dem - von der Zustandsunterscheidung her zu stark abstrahierenden - Automaten aus 65 
Figur A.59 die typischen Anfrage-Antwort-Paare des SS COP-Protokolls ausmachen, unter anderem POLL gefolgt von 
STAT, RS gefolgt von RSAK und ER gefolgt von ERAK. Zustand 5 bildet einen vom Grundzustand der Kommunikation 
unterschiedenen Fall einer abgebauten Verbindung, die mit dem Paar BGN_o, BGNAK__i iiber den Zustand 6 wieder auf- 
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gebaut werden kann. Ein bei Kenntnis des Originalprotokolls "besserer" Automat ist allerdings der in Figur A.58 darge- 
stellte mit 21 Zustanden. Dieser Automat befindet sich nach einem ordentlichen Verbindungsabbau meist in einem ande- 
ren als dem Grundzustand 0, namlich in einem der Zustande 7, 10 oder 15. DaB diese Zustande nicht untereinander zu- 
sammengefaBt wurden, liegt letztendlich an der Struktur der Trainingsmenge - es fehlen offenbar zu viele Kombinatio- 

5 nen aus den moglichen Pra- und Postfixes des Verbindungsabbaus. Allerdings ist in diesem Automaten auch der Grund- 
zustand, also Zustand 0 aus dem lOer- Automaten, hier bereits auf die Zustande 0 und 2 aufgespalten, wie man z. B. an 
der RS_i-RSAK_o-Sequenz von 0 uber 5 nach 2 erkennen kann. Die SD-PDU, die von Zustand 2 nach Zustand 0 zuriick- 
fuhrt, bewirkt im Protokollstandard keinen Zustandswechsel. 

Der Vergleich mit dem noch weniger abstrakten 27er- Automaten in Figur A. 57 zeigt, daB dort auch noch der Zustand 1 

10 als Variante des Grundzustands auftritt. Insbesondere die POLLSTAT-Paare der SSCOP fuhren zu Zustandswechseln 
zwischen 1 und 0. 

Zusammenfassend laBt sich sagen, daB der Automat mit 22 Zustanden aus Anwendungssicht den besten KompromiB 
darstellt - "zu viele" Zustande sind eher akzeptabel als "zu wenige", weil in der Anwendungsphase durch nichtdetermi- 
nistischeTransitionen ggf. der fur den Kommunikationsfortschrittpassendere Folgezustand gewahlt werden kann. Uber- 
15 maBige Zusammenlegung von Zustanden fuhrt dagegen immer zum Verlust der Fahigkeit des Analysators, bestimmte 
Pro tokoll vers toBe zu erkennen. 

Attributregeln 

20 Um das Lemresultat in bezug auf die Attributregeln zu beleuchten, soil im folgenden der Automat mit 21 Zustanden 
betrachtet werden. Fur ihn wurden fur eine maximale KontextfenstergroBe von w = 3 aus der Sequenz von 1953 PDUs 
insgesamt 31 Attributregeln gelernt Davon beziehen sich 24 Regeln auf eine Dreiersequenz, 5 auf eine Zweiersequenz 
und 2 Regeln auf Einzel-PDUs. Jede Attributregel muBte auf mindestens 10 Beispielen basieren. Die fur den gesamten 
LernprozeB - Automat und Attributregeln - benotigte Zeit liegt bei 198 Sekunden auf einem PentiumPro-PC mit 

25 128 MB Hauptspeicher und 200 MHz Takt. Davon entfallen nur etwa 24 Sekunden auf InfSM, 174 Sekunden benotigt 
LARGE fur das Erlemen der Attributregeln. 

Die gelernten Attributregeln konnen nur beispielhaft untersucht werden. Figur A.61 zeigt ein Beispiel einer Attribut- 
regel in der Rohversion, wie sie vom Lernalgorithmus ausgegeben wird. 

Um diese zwei Klauseln zu untersuchen, ist zunachst die Bedeutung der V! zu erklaren. Die drei PDUs SD, SD, USTAT 

30 liefern die acht Attribute in folgender Weise: 
SDi(N(S)i = vx^en^ v 2 ) 
SDi(N(S) 2 = v 3 ,len 2 = v 4 ) 

USTAT 0 (N(MR) 3 = v 5 , N(R) 3 = v 6 , Ll 3 = v 7 , L2 3 = v 8 ) 

Mit diesen Bezeichnungen der PDU-Felder, die aus dem Standard Q.2110 stammen, lassen sich unter anderem fol- 
35 gende Beziehungen aus den Regeln in Figur A.61 ableiten: 
1 < N(S)i < 16 A lem = 1 A 
N(S) 2 = N(S)i + 2A len 2 = 1 A 

N(MR) 3 = N(S) 2 + 7 A N(R) 3 = N(S) 2 - 1 A 2 < Ll 3 < 17 A L2 3 = N(S) 2 
V 

40 Len! = 1 A 

N(S) 2 = N(S)i + 3 A len 2 = 1 A 

N(MR) 3 = N(S) 2 + 7 A - N(R) 3 = N(S) 2 - 1 A L2 3 = N(S) 2 +1 

Das Senden von USTAT als Antwort auf die zweite SD-PDU ist eine Fehlerbehandlung in der SSCOP, hervorgerufen 

durch einen Sequenzfehler. Eigentlich muBten die Laufnummem N(S) der SD-PDUs fortlaufend hochgezahit werden, 
45 dies ist bei den beiden hier beschriebenen Situationen aus der Beispielkommunikation nicht der Fall (N(S)z = N(S)i + 2 

bzw. N(S) 2 = N(S)i + 3). Im USTAT gibt N(MR) die hochste empfangbare Laufnummer (Empfangsfenster) an, N(R) 

nennt die letzte iibersprungene PDU, N(S) 2 - 1 (vgl. [IT94a]). 

Natiirlich sind die FenstergroBe von 7, die Auslassung genau einer bzw. genau zweier PDUs ebenso wie das in der er- 

sten Klausel kodierte L auf nummerninter vail 1. . .16 Spezialfalle, die aus der spezifischen Trainingsmenge stammen. 
50 Dies kann dem Algorithmus jedoch nicht als Fehler angelastet werden, da er ja nicht "wissen" kann, welche dieser 

Aspekte zum Protokoll gehoren und welche nicht. 

4.6.2 Versuche mit TCP 

55 Dieser Abschnitt beschreibt die Versuche mit dem Intemet-Transportprotokoll TCP. 

TCP ist ein verbindungsorientiertes Protokoll mit einem Bestatigungs- und FluBkontrollmechanismus auf Basis eines 
gleitenden Fensters (sliding window). Das TCP-Kommunikationsmodell ist ein virtueller Datenstrom, in dem nicht die 
Pakete, sondern die einzelnen Oktette numeriert sind. TCP-PDUs werden in der Protokolldefinition [Pos80] als Seg- 
ments bezeichnet. 

60 Leider gibt es in der Protokolldefinition keine Unterscheidung in verschiedene PDU-Typen, sondern nur ein Feld mit 
sechs Kennzeichen (flags), die angeben, welche Protokollfunktionalitaten in der jeweiligen PDU angesprochen werden. 
Dies schlieBt die Festlegung ein, welche PDU-Felder vom Empfanger interpreuert werden sollen. Daher muBte fur einen 
sinnvollen Einsatz des Lernverfahrens eine Einteilung in PDU-Typen vorgenommen werden, die sich an den Kennzei- 
chen der PDUs orientiert. Die sechs Kennzeichen haben die folgenden Bedeutungen: 

65 URG (urgent pointer field significant) Es sind "dringende" Daten bis zu einer angegebenen Position im Datenstrom vor- 
handen. Dies sollte dem Empfanger angezeigt werden. 

ACK (acknowledgement field significant) Mit dieser PDU werden empfangene Daten bis zu einer angegebenen Position 
im Datenstrom bestatigt. 
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EOL (end of letter) Erlaubt die Kennzeichnung einer Nachrichtengrenze innerhalb des Datenstroms. 

RST (reset the connection) Anweisung an den Empfanger, die Verbindung ohne weitere Interaktion zu loschen. 

S YN (synchronize sequence numbers) Wird beim Verbindung saufbau verwendet und zeigt den Start der Oktettnumerie- 

rung an. Tatsachlich belegt das S YN-Bit zum Zwecke der Eindeutigkeit die Sequenznummer vor dem ersten Datenoktett. 

FIN (no more data from sender) Zeigt an, daft der Sender in dieser Verbindung keine weiteren Daten schicken wird. Das 5 

FIN-Bit belegt die Sequenznummer nach dem letzten Datenoktett. 

Fur den Lernversuch wurden nach Maftgabe dieser Kennzeichen dieinTabelle 4.6 aufgezahlten PDU-Typen definiert. 
Die Kennzeichen RST, S YN und FIN bedingen - in dieser Reihenfolge - jeweils eigene PDU-Typen. Zu jedem PDU-Typ 
ohne ACK gibt es ein Pendant mit gesetztem ACK. Die fur den Protokollablauf unerheblichen Kennzeichen URG und 
EOL werden ignoriert. 10 

. Tabelie 4.6 

Fur den Lernversuch mit TCP deflnierte PDU-1>pen und ihre Beziehung zu den Segment- Kennzeichen von TCP 
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Die Beispielspuren fur die TCP-Experimente wurden mit Hilfe des Unix-Werkzeugs tcpdump [Law98] im laufenden 30 
Betrieb eines lokalen Netzes gewonnen. Die PDU-Schnittstelle des Lernprogramms fur TCP kann jede mit der Option 
-w von tcpdump erzeugte Mitschnittdatei lesen. Da solche Mitschnitte jedoch im allgemeinen mehrere gleichzeitige 
TCP- Verbindungen enthalten - beziehungsweise die Auswahl der richtigen Quell- und Ziel-Ports zum Herausfiltem ei- 
ner speziellen Verbindung kaum a priori moglicri ist - wurden die Mitschnitte einer Vorverarbeitung mit dem dafiir ent- 
wickelten Hilfsprogramm tcp_spUt unterzogen: Das Programm erzeugt eine konvertierte Mitschnittdatei, in der die ur- 35 
spriinglich parallelen Verbindungen hintereinander abgelegt sind. AuBerdem werden alle Verbindungen entfemt, zu de- 
rien innerhalb eines konfigurierbaren Zeitfensters tidie dte am Beginn oder Ende des ursprunglichen Mitschnitts PDUs 
aufgetreten sind. Dem liegt die heuristische Annahme zugrunde, daB eine TCP- Verbindung, zu der fur eine Zeitspanne 
tidie keine PDUs beobachtet werden, sich tatsachlich im inaktiveri Zustand befindet, also nicht mehr vorhanden ist. Die 
Verkettung zweier unterschiedlicher Verbindungen durch tcp_split erfolgt, sofern diese Annahme zutrifft, also immer in 40 
dies em inaktiven Zustand. Daher ist es sinnvoll, die resultierende Spur insgesamt als Lehrbeispiel fur einen Protokollau- 
tomaten anziisehen. Daruber hinaus laBt sich eine Minimal- und eine Maximalzahl von PDUs angeben, auBerhalb derer 
eine Verbindung nicht in den konvertierten Mitschnittubernommen wird. Figur A.62 verdeutlicht die geschilderte Funk- 
tionsweise des Werkzeugs tcp_split an einem Beispiel. 

Hier sollen zwei Lehrbeispiele des Protokolls TCP betrachtet werden, deren Eckdaten in der folgenden Tabelie zusam- 45 
mengefaJBt sind. Die drei letzten Spalten beziehen sich auf die Parameter der Vorverarbeitung mit tcp_split: 



Beispiel 


Anzahl 
PDUs 


Verbindungen 


Zeitfenster 

Udte [Sj 


min. PDUs pro 
Verbindung 


max. PDUs pro 
Verbindung 


A 


1625 


28 


900 


40 




B 


11867 


385 


3600 


10 


500 



55 

Endlicher Basisautomat 

Tabelie 4.7 gibt einen Uberblick uber Verschiedene endliche Automaten, die als Lernresultat iiber die beiden Beispiel- 
sequenzen auftreten. Die zweite Sequenz, B, ist mit 11867 PDUs zu lang fur einen einzelnen InfSM-Lauf, sie wurde da- 
her in 11 InfSM-Durchlaufen bei einer Fenstergrofle von 2000 PDUs mit Hilfe von InfSM* gelemt. Da sich die vorge- 60 
gebene Maximalzahl von Zustanden - siehe zweite Spalte der Tabelie - auf die einzelnen Durchlaufe bezieht, kann die 
Zustandszahl des resultierenden Automaten nach der Kombination der einzelnen Zustandsaquivalenten in beide Richtun- 
gen von dieser Vorgabe abweichen. Eine Angabe des Schwellenwertes N als unabhangige Variable, wie in der entspre- 
chenden Tabelie 4.5 fur die SSCOP-Experimente, ist hier nicht sinnvoll, da die gewahlte Schwelle von Durchlauf zu 
Durchlauf variiert. Das Diagramm in Figur A.66 stellt den Zusammenhang zwischen Schwelle N und Zustandszahl IS I 65 
fur jeden einzelnen Durchlauf von InfSM dar - fur die Beispielsequenz B sind also 11 Graphen eingezeichnet. 



73 



DE 199 29 166 A 1 



Tabelle 4.7 



Verschiedene endliche Automaten fur TCP 



Beisoiel 


Soll- 


Zustande 


Kanten 


nichtdet. 






Zustande 






Situationen 




R 


« 

O 










R 


10 


o 


20 


2 




B 


11. ..12 


9 


22 


3 




B 


13. ..15 


8 


21 


2 


A.63 


B 


16...19 


17 


34 


3 


A.64 


B 


20 


22 


40 


4 




A 


14 


12 


23 


3 


A.65 



Man sieht, daB die gelemten Automaten wiederum nur wenige nichtdeterministische Transitionen aufweisen. Durch 
20 das Mehrstufenverfahren InfSM* ergibt sich eine relativ grobe Abstufung der unterschiedlich abstrakten Automaten. 
Das Diagramm zeigt sehr groBe Unterschiede im Verlauf der Zustandszahl zwischen den verschiedenen Abschnitten der 
B-Sequenz. Besonders dadurch bietet sich auch hier keinerlei Ansatzpunkt fur eine automatische Auswahi des "besten" 
Automaten in bezug auf den Abstraktionsgrad. 

Die Figuren A.63 bis A.65 zeigen drei der in Tabelle 4.7 aufgefuhrten Automaten als Zustandsgraphen. Der Automat 
25 in Figur A.63 resultiert aus der langen Beispielsequenz B. Er wurde aus Einzelrelationen mit hochstens 13 bis 15 Zustan- 
den zusammengefugt, woraus sich nach der Uberlagerung insgesamt 8 Basiszustande ergaben. Zahlreiche Transitionen 
des Automaten beginnen und enden in Zustand 0, wie man leicht an den iibereinandergedruckten Kantenbezeichnern er- 
kennt. Dieser Zustand stellt also den Grundzustand des Kommunikationsablaufs dar uhd wird wahrend der normalen Da- 
tenubertragungsprozeduren nicht verlassen. Leider ist auch der Zustand einer inaktiven Verbindung im Automatenzu- 
30 stand 0 angesiedelt, denn alle SYN- und S YNA-Kanten beginnen dort. Der in der Figur untere Teil des Automaten mo- 
delliert aber gut verschiedene mogliche Ablaufe des Verbindungsabbaus mit dem FIN-Kennzeichen und seiner Bestati- 
gung. Die in Tabelle 4.7 genannten weiteren Automaten mit 8 bzw. 9 Zustanden unterscheiden sich nur marginal vom ab- 
gebildeten. 

Figur A.64 zeigt den Automaten mit 17 Zustanden, der sich ergibt, wenn man die Einzelrelationen auf hochstens je 16 

35 Zustande begrenzt. Man erkennt, daB die beiden Zustande 8 und 12 offenbar redundant sind. Dies laBt sich nur damit er- 
klaren, daB die S YN_o-SYNA_i-Paare im Beispiel B so selten bzw. mit teilweise so groBem Abstand auftreten, daB trotz 
1000 PDUs Uberlappung zwischen den Lernabschnitten keine Zusammenfassung der zugrundeliegenden Sequenzposi- 
tionen erfolgt ist (vgl. Abschriitt 4.4.2). Gegeniiber dem ersten Automaten sind zahlreiche Zustande aufgespalten wor- 
den. Bei genauerer Betrachtung wird deutlich, daB die Zustande 0 bis 3 erhalten geblieben sind. Zustand 4 ist allerdings 

.40 aus dem "Grundzustand" 0 herausgelost worden, so daB aus 5 und 6 jetzt 6 und 7 geworden ist. Ein Vergleich zwischen 
dem neuen Sektor links unten im Automaten und der schon bekahnten Gruppe der ersten acht Zustande deutet darauf hin, 
daB bei 17 Zustanden bereits eine ubermaBige Verfeinerung eingesetzt hat; 

In Figur A.65 ist zum Vergleich ein Automat dargestellt, der aus der mit 1 625 wesentlich kiirzeren Beispielsequenz A 
abgeleitet wurde. Es fallt auf, daB er kaum Ahnlichkeiten mit den Ergebnissen zur Sequenz B aufweist: Sowohl die fur 

45 feste PDU-Paare zustandigen Zustande 4 und 5 als auch die beiden groBeren Schleifen finden keine funktionale Entspre- 
chung in topologisch verwandten Konstrukten der beiden ersten vorgestellten Automaten. Die einzige Gemeinsamkeit 
besteht offenbar darin, daB ein einziger Zustand den GroBteil der Protokollprozeduren alleine ubemommen hat. Einige 
Details - wie die RST_o-RST_o-Sequenz hier gegeniiber RST_i-RST_i in Figur A.64 - deuten darauf hin, daB es signi- 
fikante strukturelle Unterschiede in den Trainingsbeispielen gibt, obwohi diese fur ein relativ einfaches Protokoll wie 

50 TCP bereits recht lang sind, 

Attributregeln 

Fiir den vollstandigen Lemvorgang einschlieBlich der Attributregeln wurde der Automat mit 8 Zustanden ausgewahlt 
55 (siehe Figur A.63). Es wurden Regeln iiber ein Kontextfenster von hochstens 3 PDUs aus jeweils mindestens 10 Beispie- 
len pro Regel gelemt. Der vollstandige Lemvorgang aus 11867 PDUs dauert auf einem PentiumPro-Rechner mit 
200 MHz Takt und 128 MB Hauptspeicher 93 min, wovon etwa 6 min auf InfSM* und 87min auf LARGE entfallen. 
Gelernt werden 48 Regeln iiber drei aufeinanderfolgende PDUs, 14 Regeln iiber zwei aufeinanderfolgende PDUs und 7 
Regeln iiber Einzel-PDUs, insgesamt also 69 Attributregeln. 
60 Als Demonstration einer abgeleiteten Attributregel soil hier die Sequenz ACK_i, FINA_i, ACK_o uber die Zustande 0 
und 1 zum Zustand 2 dienen. Figur A.67 zeigt wieder die Rohfassung der gelernten Regel. 

Zum Verstandnis dieser Vorschrift benotigt man die Zuordnung der numerierten Attribute zu den PDU-Feldem: 
ACKi (co ni = vi, SEQi = v 2 , WNDx = v 3 , fagsi = v 4 , ACKi = v 5 ) 
FINAj (con 2 = v 6 , SEQ 2 = v 7 , WND 2 = v 8) fags 2 = v 9 , ACK 2 = v 10 ) 
65 ACK 0 (con 3 = v n , SEQ 3 = v 12 , WND 3 = v l3 , fags 3 = v 14> ACK 3 = v l5 ) 

Wahrend SEQ, WND und ACK PDU-Felder gemaB der TCPTDefinition [Pos80] sind, sind die beiden ubrigen Feldar- 
ten an das Lernproblem angepaBte Reprasentationen: 

con Bezeichnet die zugehorige Verbindung (connection) und wird aus Quell- und Ziel-Port-Nummer von TCP gebildet. 
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Mit Hilfe dieses Feldes lassen sich Kontextregeln iiber ein Verbindungsende hinaus erkennen . 

Z^^SZ^^t&^T^ a aus der TCT " PDU — • die nicht aus *- 

Auf Basis dieser Feldbezeichner kann die Regel aus Figur A.67 umformuliert werden zu- 

con! ~ con 2 = con3 

A ACK 3 = SEQi + 1 = SEQ 2 + 1 

A WNDi = WND 2 = WND 3 = 8760 

A flagsi = flags 2 = flags 3 = 0 

A SEQ 3 = ACK 2 =ACK 1 

Diese Beziehungen sagen aus, dafi die drei PDUs zur selben TCP-Verbindnna a P hnr P n ^ a a u • 
zeichen (auBer ACK und FIN) verwendet werden. Insl^so^ S ^^^^^^^^^ 
Sequenznunxmer tragt, die nut ACK, bestatigt werden muB, wird genau abglSSTSS Ltet Wc^EmoZ^ 
ster-Felder WND wird aber wieder deutlich, daB selbst eine so groBe und unter ^m^SS^aB^^^&- 
nommene Trainingsmenge nicht vor implementierungsspezifischen BesonderheScnSzt Bedln S un S en aufge- 

Kapitel 5 

Bewertung und Ausblick 

wi?^ 65 ^, aP p el be f WertCt P" ktischen Nutzen der beide " in dieser Arbeit entwickelten Verfahren und untersucht 
wie sinnvolle Erweiterungen und Erganzungen dieser Ansatze aussehen konnten. untersucht, 

5.1 Vergleichende Bewertung 

Zunachst soU d^ praktische Brauchbarkeit der entwickelten Verfahren, Spuranalyse mit FollowSM und Protokoller 
nen nut InfSM und LARGE, sowohl pro Verfahren als auch vergleichend bewertet werdeToS Serien zur Bewtrfune 
ghedern S1 ch m d,e Vollstandigkeit der Fehlererkennung, die Korrektheit von Meldungen nb^Ser die^ 
der Ana^yseergebnisse fur den Benutzer in Abhangigkeit von dessen Sachkenntnis, den Auf wand ffi^ *dte E«SKtf 
nes Analysators fur ein konkretes Protokoll sowie den Aufwand der eigentlichen Analyse. ^zeugung ei- 

5.1.1 Vollstandigkeit 

Mit Vollstandigkeit ist die Vollstandigkeit der Fehlerdetektion gemeint, also die Frage ob alle denkbaren Arten von 

^^^JS^^S^SS^ 6ntSPnCht ^ ^ Frage ' ° b AUftfeten 

^^.^M-yerfahren wird, sobald die Synchronisationsphasebeendet ist und die Zustandsbeschreibuneenkeine 
unsxcherhertsbehafteten Eintrage mehr enthalten, ein gewisses MaB an Vollstandigkeit erreicht: AileTm WEFSM So 

Z™A< U nabhk v "g i g k « ts P , ' amisse (vgl, Abschnitt 3.3.4) erlaubt keine expliziten Manipulationen eines Systemzu- 
^ds^mehrere Einzelautomaten umfaBt. Protokolle, die darauf angewiesen sind,:konnen nurunterwSuV 
Vollstandigkeit m den entsprechenden Situationen modelliert werden n nur umer verzicnt aui 

- Erne Abbildung sehr komplexer Datenstrukturen im Protokollzustand in die unsicherheitsbehaftete Zustand.re ^ 
prasen tabon in FollowSM kann dazu fuhren, daB der Suchaufwand im Zustandsraum zu ^SKS^^SE" 
losschlexfen im unsicherheitsbehafteten Zustandsraum entstehen. Letzteres geschieht, wenn dTe Vera £5Jw£ 

Si t H TlvT T h erZCUgten Fol S e ™d -halten bleibf. In solchen Fallen nSr g 2gSe 

FaU im Hmbkck auf korrektes Protokollverhalten angenommen, mithin auf Vollstandigkeit verzichtet werden 

Svnchro V H enU T^ V ^ letZt SCh ° n - f0mal u -ermeidliche - unvoUstandig *lS£S££Ztn der so 
Synchronisationsphase (vgl. Theorem 4 in Abschnitt 3.2.2) das Vollstandigkeitsgebot. 

Trotzde m weist das FollowSM- Verfahren eine sehr hohe Fehlererkennungsquote auf weil es den Datenanteil des Pm 
okoilzustands, die Datenfelder der PDUs und Zeitbedingungen uberpnift undUrsache ^W^^SSSwW 

SSlf^ T d - DlC e /P e r e ^eUe Bestaugung fur die gute Fehlererkennungsfahigkei. in Ab- 
schnitt 3.5.3 im Zusammenhang mit den Versuchen bei der GMD erbracht 

H Iv ^P^p e in der Anwendungsphase ernes erlernten Protokollautomaten kann dagegen unter keinen Umstan 
den Volktandtgkeit zugesichert werden. Dies liegt daran, daB sowohl der LARGE- Algorithmus beim Leraen derA thH 
SbeS t ^ M - M ^ ith ™ s ««i der Erzeugung des PDU-Typen-Amoma" n zw^ufigtoet t 
LnfdSi SStt S ; T n nr\ Wei1 ^ Traini °« e ™ *» EL Stichprobe des korrektL vShi! 
Z Itr nl Uti H ^ 8 das Fehlererkennungsvermogen eines gelernten Analyseautomaten naturUch sehr stark 

von der Qualitat des verwendeten Trammgsverkehrs ab, welche sich wiederum ohne a priori vorhandenes Protokollw? 
sen bum abschatzen laBt. Obwohl sich diese Unzulanglichkeiten aus der Natur der Sache e^^T^sferiSSST 
sondere im Hinblick auf ein kommerzielles Produkt dem Benutzer eines Spuranalysators nuf schwe^iteta 

5.1.2 Korrektheit 

Mit Korrektheit ist die Korrektheit der Fehlerdetektion gemeint, d. h. die Frage, ob es tatsachhch nur bei Vorliegen ei- 
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nes Protokollverstofies zu einer Fehlermeldung des Analysators kommen kann. Dies entspricht der Frage, ob aus dem Er- 
halt einer Fehlermeldung grundsatzlich das Vorliegen eines ProtokoUverstoBes folgt. 

Bei der Spezifikation der unsicherheitsbehafteten Spuranalyse in Abschnitt 3.2.2 wurde der Korrektheit unbedingter 
Vorrang gegeniiber der Vollstandigkeit eingeraumt. Dies ist sinnvoll, weil die hier betrachteten Spuranalysatoren in ei- 
nem Kontext zum Einsatz kommen, in dem sonst keinerlei Fehler gefunden werden. Unvermeidliche Unzulanglichkeiten 
eines Analysators sollten sich eher in einer nur teilweisen Losung der Erkennungsaufgabe auBern als den Benutzer mit 
einer Rut von unzutreffenden Fehlermeldungen zu konfrontieren. Dies gilt ganz besonders dann, wenn der Benutzer 
selbst gar nicht uber die erforderlichen Kenntnisse verfiigt, urn im Einzelfall zutreffende von unzutreffenden Fehlermel- 
dungen zu unterscheiden. . . — _„.. 

Beim FollowSM-Verfahren kann die Korrektheit aller Fehlermeldungen garantiert werden, sofern bei der OlUbSM- 
Modellierang keine Entwurfsfehler unterlaufen sind (vgl. Theorem 3 in Abschnitt 3.2.2). Diese Aussage relativiert sich 
nur insoweit daB der gemeldete Fehler nicht immer mit der tatsachlichen intemen Fehlfunktion der IUT ubereinstimmen 
muB, weil der eigentlich zutreffende Pfad im Zustandsraum durch die Fehlfunktion fruher verworfen worden sein kann 
' als ein oder mehrere zunachst mdglich erscheinende Alternativpfade (vgl. Abschnitt 3.3.6). . 

Beim Resultat des Lemverfahrens kann auch die Korrektheit der Fehlermeldungen nicht garantiert werden, da man nie 
ausschlieBen kann, daB irgendeine korrekte Protokollprozedur wahrend der Lernphase nicht aufgetreten ist und dann, in 
der Analysephase beobachtet, zu einer unzutreffenden Fehlermeldung fuhrt. 

5.1.3 Transparenz der Diagnosen 

Dieses Kriterium zielt darauf ab, ob und inwiefem die vom Analysator erzeugten Diagnose- und Fehlermeldungen fur 
den Benutzer hilfreich sind, urn die zugrundeliegenden Fehlfunktionen zu beseitigen. Das ist ja das eigentliche Ziel beim 
Einsatz eines Spuranalysators in dem in dieser Arbeit angenommenen Kontext. 

Das FollowSM-Verfahren erreicht eine gute Aussagekraft der Diagnosemeldungen. Besonders die in Abschnitt 3.3.0 
25 beschriebenen Ergebnisberichte auf hoherer Abstraktionsebene, darunter die Parameterschatzung und die Fehlerklassifi- 
kation mit -statistik, sind aus Benutzersicht wertvoll und vermeiden dabei eine tlberfrachtung mit Detailinformationen. 

Die hohe Aussagekraft erreicht FollowSM dadurch, daB es auf Begriffe und Bedeutungen aus der originalen Protokoll- 
spezifikation zuriickgreifen kann, urn die erkannten Fehlersituationen und Fehlfunktionen zu charaktensieren. Dies be- 
deutet natiirlich auch, daB ein Benutzer uber Kenntnisse des Zielprotokolls verfugen muB, urn die von FollowSM ereeug- 
30 ten Ergebnisberichte vollstandig nutzen zu konnen. Die Situation zeigt Parallelen mit den Fehlermeldungen ernes Uber- 
setzers fur eine Programmiersprache: Wer die jeweilige Programmiersprache nicht kennt oder sogar iiberhaupt nicht pro- 
erammieren kann, wird mit den Fehlermeldungen eines Ubersetzers auch nichts anzufangen wissen. Aber em Benutzer 
des Ubersetzers der die Programmiersprache beherrscht, ist darauf angewiesen, daB die Fehlermeldungen sehr genau auf 
Details der Fehlersituation und den Zusammenhang zur Sprachdefinition eingehen. Ebenso erlauben die Fehlerbeschrei- 
35 buneen von FollowSM, die eine Fehlersituation ja durch die letzte passende Zustandsbeschreibung und den Grand fur 
das Scheitern ihrer Fortschreibung charakterisieren, vor allem einem Protokollexperten eine sehr effiziente und tietge- 
hende Analyse der vorliegenden Fehlfunktion in der IUT. 

Die Analysephase beim Lernverfahren ist in der Aussagekraft der Meldungen deudich unterlegen. Zwar konnen auch 
hier die auftretenden Fehlerereignisse durch das letzte Teil des durchlaufenen Pfades im Automaten der PDU-Typen do- 
40 kumentiert werden und dadurch, ob der nachste PDU-Typ oder die Attributierang der nachsten PDU fur das Scheitern 
der Zustandsverfolgung verantwortlich war. Weil der Analyseautomat aber erlemt ist und keinerlei Informationen uber 
die Semantik seiner Zustande und Attributpradikate zur Verfugung stehen, 1st der Nutzen solcher Angaben im Hmbhck 
auf eine Fehlerbeseitigung auBerst begrenzt. AuBerdem miissen die Effekte moglicher Nachrichtenkreuzungen (vgl. Ab- 
schnitt 2 2 1) durch alternative Ablaufe im Automaten nachgebildet werden, was diesen weniger abstrakt und logisch 
45 macht als den Automaten, der den Protokollentwurf beschreibt. Ob Fehler nur der IUT oder auch der Partnennstanz er- 
kannt werden, hangt leider ausschlieBlich vom Charakter des Beispielverkehrs ab, namlich von der An- oder Abwesen- 
heit von ProtokoUverstoBen der Partnerinstanz darin, wie in Abschnitt 2.2.2 geschildert. Am ehesten eignen sich die Aus- 
gaben des gelernten Analysators fur einen Vergleich verschiedener Kommunikationsstrecken oder -systeme, wie ja das 
Verfahren im Grande immer auf einen Vergleich zwischen der zum Training verwendeten BeispielkommunikaUon nut 
50 den spater beobachteten Kommunikationsablaufen hinauslauft. AUerdings ware es keineswegs sachgerecht, einem Ver- 
fahren daB gerade ohne eine Protokollspezifikation fur das Zielprotokoll auskommen soU (vgl. Einleitung) die man- 
gelnde Fahigkeit vorzuwerfen, auf eine Protokollspezifikation bezogene Diagnosen zu produzieren. Letztlich setzt die 
beschriebene Relativitat der Analyseergebnisse.des Lemverfahrens die Fahigkeit des Benutzers voraus, diese Ergebmsse 
angemessen zu interpretieren. Damit ist auch in diesem Fall einem Protokollexperten durch das Werkzeug mehr gedient 
55 als einem Anwender ohne spezielle Sachkenntnis. 

5.1.4 Anpassung an das Zielprotokoll 

Die Anpassung des Verfahrens an ein neues Zielprotokoll, also die Generierang eines protokollspezifischen Analysa- 
tors kommt beim FollowSM-Verfahren nicht ohne einen gewissen Anteil an Entwurfsarbeit aus; selbst dann nicht, wenn 
eine SDL-Spezifikation zur automatischen Ableitung des Gerusts der OTEFSM-Spezifikation fur FollowSM verwendet 
wird (vgl Abschnitt 3.4.2). AUerdings kann die Verwendung der SDL-Spezifikation die Entwicklungszeit drastisch ver- 
kiirzen Wahrend die Anpassung an ein komplexes, reales Protokoll bei verfugbarer SDL-Spezifikation aber manueUer 
Erstellung der OTEFSM-Spezifikation in der GroBenordnung eines Personenmonats dauert, laBt sich diese zxit unter 
Verwendung des beschriebenen SDL-Ubersetzers auf etwa ein Viertel reduzieren. Dieser Anpassungsaufwand durfte fur 
zahlreiche Anwendungen akzeptabel sein. ,„•■,• u 

Die wesentliche Starke des Lernverfahren ist, daB es den Anpassungsaufwand pro Zielprotokoll minimiert, insbeson- 
dere den Anteil manueller Arbeit dabei. Diese beschrankt sich auf die Erstellung eines einfachen Protokoll- Dekoders, 
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weil die Herleitung der Attribute aus dem Nachrichtenstrom ja aus der Lernaufgabe ausgeklainmert worden ist (vgl. Ab- 
schnitt 4.1.1). Ein solcher laBt sich in vielen Fallen innerhalb eines einzelnen Arbeitstages ersteJlen. AnschlieBend ist ein 
Beispielverkehr aus beispielsweise 100.000 PDUs aufzunehmen und auszuwerten. DieZeit fur die Aufnahme hangt na- 
tiirlich vom Komrnunikationsaufkommen auf dem Beispielkanal ab. Die reine Rechenzeit fur die Auswertung wird nach 
den mit dem Prototyp erzielten Ergebnissen aus Abschnitt 4.6 dann in der GroBenordnung eines Tages liegen. Besonders 5 
hervorzuheben ist, daB sowohl die Aufnahme als auch die Auswertung des Beispielverkehrs ohne jedes menschliche Zu- 
tun erfolgen konnen und daher nur sehr geringe Kosten verursachen. 

5.1.5 Aufwand der Analyse 

Der Rechenzeitaufwand fur den Analysealgorithmus ist in beiden Fallen linear in der Beobachtungsdauer und der 
Speicheraufwand konstant (siehe Abschnitte 3.3.3 und 4.5), was beide Verfahren fur eine Echtzeitanalyse synchron zur 
Beobachtung qualifiziert. Welche Bandbreiten konkret als Obergrenzen fur einen sole hen "Online"-Betrieb anzusetzen 
sind, hangt im Einzelf all sowohl von der verwendeten Hardware des Analysators als auch von der Komplexitat des Ziel- 
protokolls ab. Der in Abschnitt 3.5.3 erhaltene Wert von 200 bis 400 analysierten PDUs pro Sekunde auf einem Arbeits- 15 
platzrechner von recht geringer Rechenleistung hat gezeigt, daB " Online "-Analy sen in bestimmten Anwendungsfallen 
moglich sind. Im Vergleich ist beim Lemverfahren eher mit niedrigerem Zeitbedarf zu rechnen, weil die Suche im Zu- 
standsraum hier stets linear fortschreitet. 

Trotzdem darf man nicht iibersehen, daB beim Stand der Technik in der Breitbandkommunikation, wo viele Protokolle 
bis mindestens in die OSI-Schicht 2 in Hardware irnplementiert werden mussen, urri mit der Datenrate rhithalten zu kon- 20 
nen, Spurahalysatoren in der Verarbeitungsgeschwindigkeit immer hinter den schnellsten Protokollimplementierungen 
zuriickbleiben, weil sie komplizierter sind und ihre Implementierung in Hardware wirtschaftlich nicht lohnt. 

5.1.6 Resumee 

Tabelle 5.1 stellt den Vergleich der untersuchten Verfahren anhand der genannten Merkmale zusammengefaBt dar. Als 
Resumee laBt sich aus Sicht des Autors folgendes feststelleri: 

1. Das Folio wSM- Verfahren zeigt zweifelsfrei einen hohen Nutzeffekt im praktischen Einsatz, sofern die Anwen- 
dung die Kosten der Protokollanpassung rechtfertigt. Es eignet sich allerdings besser als hochspezialisiertes Werk- 30 
zeug fur Spezialisten denn als universelles "Troubleshooting-Tool" fur die Endanwender der Kommunikationssy- 
steme. 

2. Das Lemverfahren ist vom praktischen Nutzwert demgegenuber stark eingeschrankt. Der gelernte Analysator. 
kann aber immerhin verwendet werden, um einen ersten Eindruck von der Korrektheit einer Protokollimplementie- 
rung zu erhalten. Angesichts seiner sehr niedrigen Rentabilitatsschwelle infolge der minimalen Anpassungskosten 35 
und weil keine Informationen uber das korrekte Protokollverhalten benotigt werden, sind sinnvolle Anwendungs- 
gebiete des Lernansatzes durchaus vorhanden. Der Lernansatz liefert insbesondere eine sehr stark komprimierte 
Charakterisierung des jeweiligen L^hrbeispieis. Der gelernte Automat beschreibt namlich samdiche Situationen, 

die im Ixhrbeispiel aufgetreten sind. Damit stellt das Erlernen eines Protokollautomaten eine sehr sinnvolle MaB- : 
nahme dar, um einen ersten Uberblick iiber das Verhalten eines zu analysierenden Zielsystems zu erhalten. v 40 

5.2 Ansatze fur Weiterentwickluhgen 

In diesem Abschnitt sollen Moglichkeiten erortert werden, wie die entwickelten Verfahren weiterentwickelt werden 45 
konnten, um ihren Einsatz zu vereinfachen und ihren Nutzen zu 
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Tabelle5.1 



Gegenuberstellung der in dieser Arbeit untersuchten Verfahrenstypen anhand der wesentlichen Bewertungskxiterien 



Kriterium 


/^//o>v5M-Verfahren 


Lernverfahren InfSMILARGE 


Vollstandigkeit 


Erkennt nach der Synchronisa- 

rion^nha<ip dllp Ver^foRp cep'en 
modellierte Regeln. 


Erkennt nicht alle Fehler, 
abhangit? von der Trainin2skom- 
niunikation. 


Korrektheit 


Alle Fehlermeldungen sind zu- 

IIC11CQU. 


Fehlermeldungen konnen auch 
auc T iickpn in der Traininpskom- 
munikation resultieren. 


Aussagekrafl der 
Diagnose 


AuBerst hilfreich und arbeitsspa- 
rend fur Protokollexperten. Be- 
dingt hilfreich fur Endanwender. 


Grobe Einstufung fur Proto- 
kollexperten. Fur Endanwender 
kaum zu empfehlen. 


Anpassung an 
neue Protokolle 


GroBenordnung eine Perso- 
nenwoche Entwicklungsarbeit 
bei Verwendung einer SDL- 
Spezifikation. 


GroBenordnung ein Personentag 
j^nrwicKiungsar Den zuzugncn 
einige Stunden bis wenige Tage 
Rechenzeit fur Aufhahrtie der 
Trainingskommunikation und 
LernprozeB. 


Aufwand bei der 
Analyse 


Gering. Zeitbedarf linear in der 

JDCOUdurriUIlgoUxlUCl, opCiLa*Cl 

bedarf konstant. In vielen Fallen 
^Online" -Analyse moglich. 


Gering. Zeitbedarf linear in der 
RpnHachhincKsHaiipr Sneicher- 
bedarf konstant. Konstanten 
kleiner als bei FollowSM. In 
vielen Fallen „Online" -Analyse 
moglich. 



. erhohen. Die entscheidenden Ansatzpunkte fur Verbesserungen sind: 

1. Die mangelnde Eignung beider Verfahren flir Anwender ohne Expertenwissen liber das ZielprbtokolL 

2: Der Bedarf nach manueller Unterstiitzung bei der Erstellung eines protokollspezifischen Analysators nach dem 

FollowSM- Verfahren. 

Folgende Ideen fur Verbesserungen werden in den nachsten Abschnitten betrachtet: Die Verwendung von Hybridver- 
fahren, die Nutzung eines Expertensy stems als Interpretationsschicht und eine bedingungslose SDL-Basierung der Spar- 
analyse ohne manuelle Nachbearbeitung. 

5.2.1 Hybridverfahren 

Mit Hybridverfahren ist gemeint, daB mehrere Analyseverfahren gleichzeitig verwendet werden, um die Starken der 
Einzelverfahren zu kombinieren und ihre Schwachen auszugleichen. Diese Idee stammt aus der Anfangsphase der Ent- 
wicklung der einzelnen Analyseverfahren. 

Die Nutzung eines Hybridverfahrens isfdann theoretisch sinnvoll, wenn unterschiedliche Verfahren vorliegen, die zu- 
einander orthogonale Vorteile in einem oder mehreren bestimmten Qualitatskriterien aufweisen, um insgesamt eine Ver- 
besserung in genau diesern bzw. diesen Qualitatkriterien zu erreichen. Dazu ein Beispiel: Wenn ein Analyseverfahren vor 
allem VerstoBe gegen Zeitbedingungen findet und ein anderes vor allem f alsch kodierte PDUs, so konnte eine Kombina- 
tion beider Verfahren eine wirkliche Verbesserung hinsichtlich des Vollstandigkeitskriteriums bringen. 

Die beiden hier entwickelten Ansatze sind aber nicht in der Auspragung einzelner Qualitatskriterien zueinander ortho- 
gonal, sondern in den Voraussetzungen ihrer Anwendung: Das Lernverfahren kann in Fallen benutzt werden, in denen 
notige Informationen fur die Anwendung von FollowSM fehlen, dessen Einsatz also ausgeschlossen ist. FollowSM 
gleicht dies durch insgesamt bessere Analysequalitat in alien qualitatsbezogenen Kriterien aus. Eine Kombination macht 
unter diesen Voraussetzungen keinerlei Sinn. Denn immer wenn ein FollowSM-Analysator zur Verfugung gestellt wer- 
den kann, dann ist der Einsatz von InfSM und LARGE vollkommen uberfliissig.. In Bezug auf den Zeitaufwand der Ana- 
lyse selbst kann ein Hybridverfahren naturlich niemals eine Verbesserung gegeniiber einem der Einzelverfahren bedeu- 

ten - - • 

Hybridverfahren sind also prinzipiell sinnvoll, aber nicht im Zusammenhang mit den beiden hier untersuchten Ansat- 

zen, die im Raum der moglichen Verfahren diagonal gegenuberliegende Extrempunkte in den Dimensionen Anpassungs- 
aufwand und Ergebnisqualitat einnehmen. 
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5.2.2 Expertensystem als Interpretations schicht 



Eine rnogliche Abhilfe fiir die Liicke zwischen der gegebenen Diagnose eines Analysators und geeigneten MaBnah- 
men zur Problembeseitigung, also eine Weiterentwicklung im Hinblick auf den den obigen Ansatzpunkt 1, ware die Ver- 
wendung eines Expertensystems als zusatzliche Interpretationsschicht. 5 

Dies bedeutet, daB eines der Analyseverfahren weitgehend unyerandert eingesetzt werden konnte, um Merkrnale der 
beobachteten Kommunikation hinsichtlich ihrer Protokollkonfonnitat zu gewinnen. Diese Merkrnale sind die Diagnosen 
der bekannten Verfahren. Die zusatzliche Schicht in Form eines Expertensystems wiirde als Vermittler zwischen dem 
Analyseverfahren und einem Benutzer auftreten, der kein Protokollexperte ist. Diese Schicht konnte in der Gesamtheit 
der Korrektheits- und Unkorrektheitsmerkmale ein typisches Fehlerbild isolieren und z. B, vorbereitete Hinweise geben, io 
wie sich dieses beseitigen laBt. 

Obwohl dieser Ansatz sehr vielversprechend ist, stellt er jedoch hohe Anforderungen an seine Realisierung: 

- Man benbtigt eine groBe Falldatenbasis, um die Regeln fiir das Expertensystem aufzustellen. Diese Datenbasis 
muB nicht nur ein vollstandiges Bild der Fehlerdiagnosen eines Analyseverfahren s fiir sehr viele verschiedene Feh- 15 
lersituationen enthaiten, sondern zu jeder dieser Fehlersituationen auch noch eine prazise Beschreibung des Fehler- 
bildes und moglicher GegenmaBnahmen. 

- Die im vorangegangenen Punkt beschriebene Falldatenbasis ist im allgemeihen nur fiir eine ganz bestimmte Kon- 
figuration eines Kommunikationssystems gultig. Besonders die GegenmaBnahmen miissen direkt Bezug nehmen 
auf die konkrete Systeminstallation. Ein Beispiel, diesen Sachverhalt zu verdeutlichen, ist eine empfohlene Gegen- 20 
maBnahme wie: ! 'Gehen Sie in Raum 4711 und stecken Sie den dritten Stecker von links unter dem Fenster wieder in 

die kleinerunde AnschluBdose." . . 

- Die Zuordnung von GegenmaBnahmen zu Fehlerbildern ist grundsatzlich mit ahnlichen Schwierigkeiten behaftet 
wie das Lernen eines Protokolls beim Lernansatz: Die Aufgabe des Expertensystems kann ebenf alls als generalisie- 
rendes Lernproblem aufgefaBt werden. Daher laBt sich niemals garantieren, daB die vorgeschlagenen GegenmaB- 25 
nahmen korrekt und angemessen sind. 



5.2.3 Spuranalyse auf direkter Gruhdlage von SDL 

30 

Der Ansatzpunkt 2, die Notwendigkeit manueller Hilfe bei der Protokollanpassung, laBt sich am ehesten angehen, in- 
dent das interne Protokollmodell des Analysators - eine OTEFSM-Spezifikation bei FollowSM - direkt auf den Auto- 
maten gemaB der SDL-Semantik umgestellt wird. Dadurch werden Unstimmigkeiten bei der Modellierungsmachtigkeit 
und Schwierigkeiten bei der Konvertierung mit einem Schlag vermieden. 

Allerdings hat die in Abschnitt 3.1 .2 nachgewiesene Berechenbarkeitsproblematik nichts mit dem FollowSM- Verf ah- 35 
ren zu tun. Sie wiirde auch fiir den Versuch gelten, eine SDL-Spezifikation anhand einer Beobachtung auszufiihren. Au- 
Berdem gabe es in einer SDL-Spezifikation standig Transitipnen, die ausfuhrbar, aber nicht beobachtbar sind, weil sie 
von Ereignissen an der Dienstschnitts telle oder rein internen Signalen ausgelost werden. 

Eine rnogliche Losung, die diese unbeobachtbaren Ereignisse beriicksichtigt, ohne eine unendliche Suche zu provo- 
zieren, besteht darin, alle von unbeobachtbaren Transitionen potentiell betroffenen Zustandsvariablen oder Komponen- 40 
ten von solchen standig als "unsicher" zu kenhzeichnen. Gleiches rmiBte fur Zustandsvariablen gelten, die Gegenstand 
komplizierter Verzweigungsbedingungen werden. Damit erhebt sich aber sofort das Problem, daB die Zustandsbeschrei- 
bung moglicherweise nie zu sicheren Variablenwerten konvergiert; und wenn sie einmal konvergiert, laBt sich nicht - 
wie in Theorem 4 fiir FollowSM - gewahrleisteri, daB sie sicher bleibt. 

. Obwohl diese Uberlegungen nicht darauf hindeuten, daB das Mitverfolgen einer SDL-Spezifikation fur jede Spezifi- 45 
kation moglich bzw. nutzlich ist, erscheint diese Weiterentwicklung aus.Sicht des Autors als die interessanteste. Es be- 
steht die Hoffhung, daB zahlreiche SDL-Spezifikationen "gutmiitig genug" sind, um von dem hier skizzierten Ansatz 
profitieren zu konnen. Schlimmstenfalls verspricht er wenigstens eine weitere Reduktion des manuellen Anpassungsauf- 
wands, fur die man aber gegeniiber FollowSM Abstriche bei der Ergebnisqualitat riskier! 

50 

Kapitel 6 
Zusammenfassung 

In dieser Arbeit wurden zwei neue Verfahren der Spuranalyse entwickelt, mit deren Hilfe sich die Abwicklung eines 55 
Kommunikauonsprotokolls durch passive Beobachtung der ausgetauschten Nachrichten automatisch auf VerstoBe gegen 
die Protokollspezifikation analysieren laBt. Beobachtet wird nur der Nachrichtenaustausch iiber das Kommunikations- 
medium, nicht die Ereignisse an den Dienstschnittstellen der beobachteten Instanz. Es wurde gezeigt, daB hier ein theo- 
retisch nicht berechenbares Problem vorliegt. Die beiden entwickelten Verfahren unterscheiden sich wesentlich in der 
Art, wie die Protokollspezifikation als Referenz der Spuranalyse gewonnen wird: Das FollowSM- Verfahren basiert auf 60 
einer an die Anforderungen der Spuranalyse angepaBten formalen Spezifikation, die entweder manuell entwickelt oder . 
zu groBen Teilen aus einer Protokollspezifikation in der Standard-Spezifikationssprache SDL automatisch abgeleitet 
wird. Das zweite Verfahren aus den Teilalgorithmen InfSM und LARGE dagegen setzt eine protokollkonforme Beispiel- 
kommunikation voraus, aus der die Protokollregelri in einem in zwei Phasen aufgeteilten Lemvorgang gewonnen wer- 
den. Aufgrund der vorliegenden Lernsituation kann diese Lernaufgabe nur heuristisch gelost werden. 65 

Das FollowSM- Verfahren schlieBt den Datenanteil eines Protokolls und spezifizierte Zeitbedingungen in die Analyse 
ein. Es kann jederzeit mitten in einer laufenden Kommunikation gestartet werden. Es wurde gezeigt, daB das Folio wSM- 
Verfahren relativ zur Referenzspezifikation korrekt und nach einer Synchronisationsphase auch volistandig ist. Es bietet 
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dem Anwender sehr hilfreiche Informationen iiber den beobachteten Kommunikationsablauf auf verschiedensten Ab- 
straktionsebenen und kann fiir einen Protokollexperten die Sucharbeit nach Fehlerquellen urn Grofienordnungen reduzie- 
ren. Der Zeitaufwand der Analyse ist linear in der Beobachtungsdauer, wodurch ''Online M -Analysen in Echtzeit in vielen 
Fallen moglich sind. 

5 Das zweistufige Lernverfahren leitet mit dem neuen Algorithmus InfSM im ersten Schritt einen endlichen Automaten 
ab, der die Sprache der protokollkonformen Folgen von PDU-TVpen definiert. Als wichtiges theoretisches Resultat dieser 
Arbeit konnte gezeigt und argurnentiert werden, daB der InfSM-Algorithmus bei nur 0(ir) Zeitaufwand in der Lange der 
Beispielsequenz alle optimalen endlichen Automaten liefert, die die Beispielsequenz akzeptieren. Die gelemten Automa- 
ten enthalten.zudem uberwiegend determines tische Transitionen. 

10 Der ebenfalls neue Lemalgorithmus LARGE dient dazu, Regeln fiir die Datenfeldinhaite einer Anzahl aufeinanderfol- 
gender PDUs zu lemen. LARGE lemt arithmetische Klassifikationsregeln aus unklassifizierten ausschlieBlich positiven 
Beispielen, bildet dazu arithrnetische Terme aus den Attributen der Beispiele und findet selbst eine Klasseneinteilung. 

In der Anwendungsphase werden die von InfSM und LARGE gelernten Regeln wiederum zur Spuranalyse eines 
Kommunikationsablaufs eingesetzt. Durch den LernprozeB ist der Arbeitsaufwand zur Erzeugung eines protokollspezi- 

15 fischen Analysators minimal. Die Qualitat des Analyseeigebnisses bleibt jedoch - aufgrund des immer stichprobenarti- 
gen Lehrbeispiels unvermeidlich - klar hinter dem von FollowSM zuriick. Weder Vollstandigkeit noch Korrektheit der 
Fehlererkennung lassen sich garantieren, weshalb vom Anwender des Analysators Einblick in die Konsequenzen des 
Lernparadigmas zu fordern ist. Trotzdem gibt es Falle, in denen sich der Lernansatz sinnvoll praktisch einsetzen LaBt. 
Es wurden schlieBlich mogliche Weiterentwicklungen der verfolgten Ansatze untersucht, um auch ohne Expertenwis- 

20 sen zu fehlerbehebenden MaBnahmen zu gelangen und um auf manuelle Entwicklungsarbeit bei der Anpassung an ein 
Zielprotokoll ganzlich verzichten zu konnen. Den letzteren Punkt konnte ein FollowSM- ahnliches System, das aber 
komplett auf SDL basiert, leisten. Trotz einiger Einschrankungen bildet dies die interessanteste Entwicklungsperspektive 
zum behandelten Thema. 
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A.65 Endlicher Automat fur TCP nach Beispiel A mit 12 Zustanden. 25 
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Anhang B 

30 

Abkiirzungen 

Hier werden die wichtigen Abkiirzungen aus dieser Arbeit aufgelistet, erjdart und auf die jeweilige Stelle der Einfuh- 
rung im Text verwiesen. 

35 

Abkurzung/Bedeutung 

ATM = Asynchronous transfer mode, zellenbasierte Vermittlungstechnik fur Breitbandnetze. 
ASN.l = Abstract Syntax notation one, Beschreibungssprache fur abstrakte Syntax und Transfersyrtfax von Daten. 
B-BDN = Breitband-ISDN. 40 
CCTiT = Comite Consultatif International Telegraphige et Telephonique, friihere Bezeichnung fur den intemationalen 
Dachverband der nationalen Netzbetreiber-Gesellschaften. 

CCS = Calculus of communicating Systems, ProzeBalgebra-Kalkiil von Robin Milner 

CEFSM = Communicating extended finite state machine, kommunizierender erweiterter endlicher Automat. 

CWA = Closed world assumption, Annahme, daB alle nicht in der Wissensbasis auftretenden Aussagen unerfiillt sind, bei 45 

Problemen des maschinellen Lemens. 

DEA = Deterministischer endlicher Automat. 

EFSM = Extended finite state machine, erweiterter endlicher Automat. 

ETS = Executable testsuite, Satz von direkt ausfuhrbaren Testsequenzen im Konformitatstest. 

FollowSM = Follow a state machine, neuer Spuranalyse- Algorithmus mit vorgegebenem Protokollwissen. 50 
FSM = Finite state machine, endlicher Automat. 

GMD = Gesellschaft fur Mathematik und Datenverarbeitung, deutsche Informatik-Forschungseinrichtung. 
ILP = Inductive logic programming, induktive logische Programrnierung, Paradigma zum Erlemen logischer Pro- 
gramme aus Beispielen. 

InfSM = Infer a finite state machine, neuer Algorithmus zum Ableiten einer Familie endlicher Automaten aus einem Bei- 55 
spiel wort. 

IP = Interaction point, Schnittstelle einer getesteten Instanz zur Umgebung, d. h. zur nachsthoheren oder -niedrigeren 
Protokollschicht oder physikalische Verbindung zur Partnerinstanz. 

ISDN = Integrated services digital network, offentiiche Kommunikationsinfrastruktur fur vielfaltige Dienste mit digita- 
ler Ub ertragungs tech nik. 60 
ISO = International Organization for Standardization, Dachverband der nationalen Normungsinstitute. 
ITU = International Telecommunication Union, intemationaler Dachverband der nationalen Netzbetreiber-Gesellschaf- 
ten. 

IUT = Implementation under test, zu testende Implementierung beim Konformitatstest oder bei der Spuranalyse. 

LARGE = Learning arithmetical rules from good examples, neuer Algorithmus zum Lemen arithmetischer Klassifikati- . 65 

onsregeln aus positiven Beispielen. 

LEDA = Library of efficient data types and algorithms, C++-Bibliothek mit zahlreichen Standard-Datentypen. 
LOTOS = Language for the temporal ordering specification of observational behaviour, standardisierte prozeBalgebra- 
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basierte Spezifikationssprache. 

LTS = Labelled transition system, Kalkul zur semantischen Fundierung von ProzeBalgebren. 

MDL = Minimum description length, Paradigma des machinellen Lernens, bei dem die Lange der Hypothese, ausge- 
driickt in der gewahlten Hypothesensprache, rninimiert werden soli. 
5 NEA = Nichtdeterministischer endlicher Automat. 

OSI = Open Systems interconnection, Referenzmodell der ISO fur offene Kommunikationssysteme. 

OTEFSM = Observable timed extended finite state machine, formales Kalkul zur Spuranalyse und formale Grundlage 

vonFollowSM. 

PICS = Protocol implementation and conformance Statement, standardisiertes Dokument, das die implementierungsspe- 
10 zifischen Eigenschaften einer Protokollimplementierung beschreibt. 

PDU = Protocol data unit, atomare Dateneinheit bei der protokollbasierten Kommunikation. 

S AP = Service access point, Dienstzugangspunkt, Schnittstelle fur den Zu griff eines Benutzers auf eine Protokollinstanz. 
SDL = Specification and description language, standardisierte automatenbasierte Spezifikationssprache. 
SDL/GR = SDL graphical representation, Diagrammdarstellung von SDL-Spezifikationen. 
15 SDL/PR = SDL printed representation, Textdarstellung von SDL-Spezifikationen. 

SSCOP = Service specific connection-oriented procedure, Schicht-2-Protokoll der UNI-Signalisierung im Breitband- 
ISDN. 

TCP = Transmission control protocol, Transportprotokoll des Internet. 

TTCN = Tree and tabular combined notation, standardisierte Beschreibungssprache fiir Konformitatstests. 
20 UNI = User network Interface, Teilnehmer-Netz- Schnittstelle des Breitband-ISDN. 

UT = Upper tester, Testkomponente, die die Dienstschnittstelle der IUT bedient und iiberwacht. 
VPCI = Virtual path connection identifier, Bezeichner einer virtuellen Pfadverbindung im ATM-Netz. 
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Patentanspriiche 

10 

1 . Verfahren zum Erlernen des einer Protokollimplementierung zugrundeliegenden endlichen Automaten, dadurch 
gekennzeichnet, daB es die Zeitpunkte innerhalb einer Beispielkommunikation in Aquivalenzklassen zusammen- 
faflt.und diese Aquivalenzklassen als Zustande des erlernten Automaten verwendet. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB es zur Bildung der Aquivalenzklassen ein Ahnlich- 
15 keitsmaB zwischen jeweils zwei Zeitpunkten innerhalb der Beispielkommunikation berechnet, das von derLange 

der fur beide Zeitpunkte ubereinstimmenden, die Zeitpunkte umgebenden PDU-Sequenz abhangt. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daB es durch eine untere Schranke fur den Wert ei- 
nes AhnlichkeitsmaBes zwischen jeweils zwei Zeitpunkten innerhalb der Beispielkommunikation eine Ahnlich- 
keitsrelation so definiert, daB zwei Zeitpunkte die Ahnlichkeitsrelation erfiillen, wenn das AhnlichkeitsmaB zwi- 

20 schen diesen beiden Zeitpunkten groBer oder gleich der unteren Schranke ist. 

4. Verfahren nach einem der vorhergehenden Anspriiche, dadurch gekennzeichnet, daB es die die Aquivalenzklas- 
sen bildende Aquivalenzrelation berechnet, indem es die transitive Hulle einer Ahnlichkeitsrelation zwischen den 
Zeitpunkten innerhalb der Beispielkommunikation bildet. 

5. Verfahren nach einem der vorhergehenden Anspriiche, dadurch gekennzeichnet, daB es alle PDUs der Beispiel- 
25 kommunikation als Zustandsubergange des erlernten Automaten eintragt, und zwar jeweils als Ubergang von dem- 

jenigen Zustand, in dessen Aquivalenzklasse der Zeitpunkt unmittelbar vor der betreffenden PDU liegt, zu demje- 
nigen Zustand, in dessen Aquivalenzklasse der Zeitpunkt unmittelbar nach der betreffenden PDU liegt, markiert mit 
der betreffenden PDU. 

6. Verfahren nach einem der vorhergehenden Anspriiche, dadurch gekennzeichnet, daB es die Verfahrensschritte 
30 nach mindestens einem der Anspriiche 1 bis 5, vorzugsweise nach der Kombination der Anspriiche 1 bis 5, mehr- 

fach fur iiberlappende Teilbereiche der Beispielkommunikation durchfiihren kann, wobei die Ahnlichkeitsrelatio- 
nen jeweils zweier iiberlappender Teilbereiche zu einer gemeins amen Aquivalenzrelation vereinigt werden. 

7. Verfahren, das einen moglichen zugrundeliegenden endlichen Automaten einer Protokollimplementierung an- 
hand einer Beispielkommunikation erlernt, wobei der zugrundeliegende endliche Automat aus den Grundzustanden 

35 des Protokolls besteht und seine Zustandsubergange mit den PDU-Typen des Protokolls markiert sind, dadurch ge- 

kennzeichnet, daB es 

a) alle Zeitpunkte in der Beispielkommunikation zwischen zwei jeweils aufeinanderfolgenden PDUs betrach- 
tet; 

b) fur jedes Paar solcher Zeitpunkte nach a) ein AhnlichkeitsmaB berechnet, das die Summe der Anzahl der fur 
40 beide Zeitpunkte ubereinstimmenden PDU-Typen vor dem Zeitpunkt und der Anzahl der fur beide Zeitpunkte 

ubereinstimmenden PDU-Typen nach dem Zeitpunkt angibt; 

c) durch eine untere Schranke fur den Wert des nach b) berechneten Ahnlichkeitsmasses eine Ahnlichkeitsre- 
lation zwischen jeweils zwei Zeitpunkten definiert, derart, daB zwei Zeitpunkte die Ahnlichkeitsrelation erfiil- 
len, wenn das AhnlichkeitsmaB zwischen diesen beiden Zeitpunkten groBer oder gleich der unteren Schranke 

45 ist; 

d) die transitive Hulle fur die nach c) definierte Ahnlichkeitsrelation bildet, wobei die transitive Hulle eine 
Aquivalenzrelation auf Zeitpunkten nach a) darstellt; 

e) jede Aquivalenzklasse der Aquivalenzrelation nach d) als einen Zustand des erlernten Automaten verwen- 
det; 

50 f) alle PDUs der Beispielkommunikation als Zustandsubergange des erlernten Automaten eintragt, und zwar 

als Ubergang von demjenigen Zustand, in dessen Aquivalenzklasse gemaB e) der Zeitpunkt unmittelbar vor der 
betreffenden PDU liegt, zu demjenigen Zustand, in dessen Aquivalenzklasse gemaB e) der Zeitpunkt unmittel- 
bar nach der betreffenden PDU liegt, markiert mit dem PDU-Typ der betreffenden PDU, wobei Ubergange, die . 
in Ausgangs- und Folgezustand und imPDU-TVp ubereinstimmen, nur einmal eingetragen werden; 

55 g) zum Zwecke der Rechenzeit- und Speicherbedarfsbegrenzung den Ablauf nach a) bis f) mehrfach fur iiber- 

lappende Teilbereiche der Beispielkommunikation durchfiihren kann, wobei die Ahnlichkeitsrelationen gemaB 
c) jeweils zweier iiberlappender Teilbereiche vereinigt werden und die zustandsbildende Aquivalenzrelation 
analog zu d) iiber die Vereinigung der Ahnlichkeitsrelationen berechnet wird. 

8. Verfahren zum Erlernen arithmetischer Klassifikationsregeln fur Merkmalsvektoren aus einer Trainingsmenge 
60 mit positiven Beispielen, dadurch gekennzeichnet, daB es anhand statistischer MaBe abgeleitete Merkmale in Form 

arithmetischer Terme bildet und logische Bedingungen auf den Zahlenwerten der Merkmale aus der Trainings- 
menge oder der abgeleiteten Merkmale formuliert. 

9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, daB es eingesetzt wird, urn anhand einer Beispielkommu- 
nikation einer Protokollmaschine Regeln fur die numerischen PDU-Feld-Inhalte einer Sequenz von PDUs zu erler- 

65 nen. 

10. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, daB es anhand der Korrelations- und Regressions- 
koeffizienten auf der Trainingsmenge fur jedes mogliche Merkmalspaar abgeleitete Merkmale bildet, wobei der 
Wert eines abgeleiteten Merkmals fur jedes Trainingsbeispiel berechnet wird als Summe, Produkt, Quotient oder 
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Differenz zweier schon vorhandener Merkmale oder als Produkt aus einem vorhandenen Merkmal und einer Kon- 
stanten. 

n ^ rfahren n3Ch eiDem d6r Ans P ruche 8 bis 1 0> dadurch gekennzeichnet, daB es zur Bildung der Bedingungen 
auffalbge Haufungen der Werte eines in der Trainingsmenge vorhandenen oder abgeleiteten Merkmals bei einem 
Zahlenwert oder mnerhalb eines Zahlenintervalls feststellt. 5 

12. Verfahren nach Anspruch 11 dadurch gekennzeichnet, daB eine auffallige Haufung dadurch definiert ist daB sie 
den Quotienten maxinuert zwischen der Breite der kleineren der beiden unmittelbar an das Zahlenintervall'angren- 
zenden Lucken, m denen keine Werte des betreffenden Merkmals auftreten, und der Breite der groBten Liicke inner- 
halb des Zahlenintervalls, in der keine Werte des betreffenden Merkmals auftreten. 

13. Verfahren nach einem der Anspriiche 8 bis 12, dadurch gekennzeichnet, daB es mehrere Unterklassen derTrai- 10 
mngsmenge konstruiert, indem es die logischen Bedingungen in einer Disjunktion von Klauseln organisiert wobei 
eine Klausel eine Konjunktion einer oder mehrerer logischer Bedingungen darstellt und jeweils eine Unterklasse 

der Irainingsmenge beschreibt. 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daB es zur Charakterisierung der gesamten Trainings- 
menge eine Auswahl der konstruierten Klauseln durchfuhrt, so daB moglichst alle Elemente der Trainingsmenge 
durch mindestens eine der Klauseln ausgewahlt werden und moglichst viele durch genau eine Klausel 

15. Verfahren zum Erlemen arithmetischer Klassifikationsregeln fur Merkmalsvektoren aus einer Trainingsmenge 
mit ausschlieBIich positiven Beispielen, eingesefzt, urn Regeln fur die numerischen PDU-Feld-Inhalte einer Se- 
quenz von PDUs zu erlemen, die einem spezifischen Teilpfad in einem bekannten endUchen Automaten von Proto- 
koll-Grundzustanden und PDU-Typen entspricht, dadurch gekennzeichnnet, daB es 

a) jede Komponente ernes Merkmalsvektors als Auspragung eines Attributs auffafit, wobei die Anzahl der am 
Anfang vorhandenen Attribute der Dimension der Merkmalsvektoren entspricht; 

b) anhand der Korrelations- und Regressionskoeffizienten auf der Trainingsmenge fiir jedes mogliche Attri- 
butpaar neue, sogenannte abgeleitete Attribute bildet, wobei der Wert eines abgeleiteten Attributs fiir jeden 
Merkmalsvektor aus schon vorhandenen Attributwerten dieses Vektors berechnet werden und zwar als 25 
Summe, Produkt, Quotient oder Differenz zweier schon vorhandener Attribute oder als Produkt aus einem vor- 
handenen Attribut und einer Konstanten, wobei bei der Berechnung aus zwei vorhandenen Attributen die in die 
Berechnung emgehenden Attribute nach maximaler Korrelation zu einem dritten Attribut und die arithmeti- 
sche Verknupfung nach der maximalen Korrelation des abgeleiteten Attributs zu demselben dritten Attribut 
ausgewahlt werden, und wobei bei der Multiplikation mit einer Konstanten ein Attribut mit einer besonders 30 
groBen Korrelation zu einem zweiten Attribut mit dem linearen Regressionskoeffizienten des Attributpaares 
derart multiphziert wird, daB das resultierende abgeleitete Attribut dem genannten zweiten Attribut numerisch 
mogbchst entspricht; 

c) auffallige Haufungen der Werte eines urspriinglichen oder gemaB b) abgeleiteten Attributs bei einem Zah- 
lenwert oder mnerhalb eines Zahlenintervalls feststellt, wobei eine auffallige Haufung dadurch definiert ist 
daB sie den Quotienten maximiert zwischen der Breite der kleineren der beiden unmittelbar an das Zahlenin- 
tervall angrenzenden Lucken, in den keine Werte des betreffenden Attributs auftreten, und der Breite der groB- 
ten Lucke mnerhalb des Zahlenintervalls, in der keine Werte des betreffenden Attributs auftreten- 

d) anhand auffalliger Haufungen gemaB c). Klauseln bildet, die jeweils eine logische Bedingung zur Auswahl 
derjenigen Beispiele aus der Trainingsmenge formulieren, deren Attributwerte eines bestimmten Attributs in- 
nerhalb eines nach der Charakteristik der zugehorigen auffaUigen Haufung gemaB c) bestimmten Zahleninter- 
vails hegen, wobei jede Klausel eine Konjunktion mehrerer solcher Auswahlbedingungen fiir verschiedene At- 
tribute darstellen kann; 

e) zur Charakterisiemng der gesamten Trainingsmenge eine Auswahl der gemaB d) konstruierten Klauseln 
durchfuhrt so daB moglichst alle Elemente der Trainingsmenge durch mindestens eine der Klauseln ausee- 45 
wahlt werden und moglichst viele durch genau eine Klausel. 
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Figur A. 5: Logischer Kontext der Spuranalyse. 
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Figur A.6: Bedeutung von Beobachtung und Fehlerereignis. c ist ein mdglicher Anfang fib- 
die neue Analyse nach dem Fehlerereignis. 
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Figur A J: Mehrdeutige Sequentialisierung der IUT-internen Aktionen a und 0 bei mdglicher 
Nachrichtenkreuzung. 
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Figur A.8: Logisches Szenario der Lernphase eines lernfahigen Spuranalysators. 
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Figur A.9: Logisches Szenario der Priifphase eines lernfahigen Spuranalysators. 
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Beobachtung 



Figur A. 12: Eine beispielhafte Protokollspezifikation als LTS und eine Beobachtung, deren 
Korrektheit von der Interpretation von a als Ein- oder Ausgabe abhangt. 
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(eine EFSM) 



Analysator 



ja/nein 



Figur A. 13: Schema zur Definition der vereinfachten Spuranalyse. 
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berechnete Entwicklungen 

eingesparte redundante Entwicklung 

Figur A. 15: Beispiel fiir eine Pfadvereinigung im Zustandssuchbaum bei Z und Z' 



Beobachtungsbeginn 



Eingaben — (- (- 



'max 



/= 2 3 
o= 12 3 
Ausgaben |— | — 



4 



AT 



Z' - 


Z" / 


Z'" 




r=Q 
i = 4 
o = 3 




i = 4 
o = 4 




i = 4 
o = 5 





Figur A. 16: Bildung der initialen Zustandsliste mit alien in Frage kommenden Ausgabe- 
Indizes. 
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CEFSM-Modell 



OTEFSMs in FoliowSM 





Schnittstelle der Beobachtung 



Figur A. 17: Mehrere Automaten im CEFSM-Modell (links) und im OTEFSM-Modell von 
FollowSM (rechts). 



Analysator 



« ■ , Dekoder 1 



rrv 



^ J OTEFSM > 



Leser 



Spur-Daten 



Figur A. 18: Datenflufl zwischen den wichtigsten Teilsystemen in der FollowSM- 
Implementierung (gestrichelt = protokollspezifisch, durchgezogen = protokollunabhangig). 
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Alle Suchschritte 



8623 



Abfolge derZustande 



Fehlerereignisse + 
Vorgeschichte 



T 



558 



FehlerkJassen 



61 



Fehlerzahl 




Figur A. 19: Hierarchie der F0//0 w5A/-Analyseberichte. 



a) 




c) 3 



t 
u 



b) 1---2 



-3 
-o 



t 
u 



v 




d) - - Ioschen 



u v 



V 



• entwickelter Knoten 

o Blattknoten 

a "unsicherer" Knoten 



primare Kante 

sekundare Kante 



Figur A.20: Beispiel fiir Operationen auf der P/a^Datenstniktur zur Rekonstruktion 
erklarenden Zustandssequenz. 



einer 
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Time Transition PDU PDU State Timer_CC VT(CC) 

in out 



0.0000 

0.0000 

0.0250 

0.0250. 

0.0250. 

0.0252 

0 .0747 

0.0747 

0.0749 



.0.0252 
.0.0252 



.0.0749 



SendENDAK 

03BGAK BGAK 
U4TimedOut 
RequestConnection 
U2END END 
U2BGREJ BGREJ 
RequestConnection 
ConnectionBegin BGN 



ENDAK ? 

3 . 
1 
2 
2 
1 
2 

10 



BGN 



BGN 



.10 



?.?? 
??? 
??? 
off 

0.9250. 
0.9250. 
off 

0.9747 . 
off 



4 .0252 
4 .0252 

4 .0749 



?? ? 
??? 
??? 
4 . 
1 
1 
1 
1 
1 



. -96 



Figur A.21: Beispiel fiir die Struktur des Analyseberichts Zustandsfolge in einer Synchroni- 
sationsphase. 



startende 
Transition 



to t 



1 



i 



ausgeloste 
Transition 



in 



t'i 

— i — ► t 



ax 



Figur A.22: Rekonstruktion der minimalen und maximalen Zeitgeberlaufzeit. 
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Figur A.23: Bildschirmanzeige der Benutzeroberflache fur den Fo/WSM-Prototypi 
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protokoll- 
unabhangig 



i i protokoll- 

1 J spezifisch 




Forget 



PDU 



T.i r 



i LayerXXX 




BTree 









Header 









ModCache 


■ / 


\ 



Module 



1 




Figur A.24: Klassenhierarchie und Informationsmodell. 



102 012/181 



iMumrner: 
Int. C!. 7 : 

Offenlegungstag: 



Ut 199 29 166 A1 
G06F 13/42 

22. Marz2001 



TrModuIe 

TraceQ 



Module 



ModCache 

..iv-.o. 

insertpduQ 




Layer2931 

dispatchQ 



Decoder2931 



decodcQ 



PduCache 

putpduQ 



TrModuIe 

TraceQ 



Module 



ModCache 

*.o::.(j 

..!;■() ;;. 

insertpduQ 



E 



Layer2110 



dispatchQ 



DecoderUlO 

decodeQ 



PduCache 

ge^duQ 
putpduQ 



4 



Reader2110 

readQ 



Schicht 3 



Schicht 2 



Schichten <2 



Figur A.25: Aufrufdiagramm der PDU-Verwaltung am Beispiel der UNI-Signalisierung im 
B-ISDN. 



//.SendRs - ITU-T Q.2110-U 20/51 
Defn_Pre (sendrs) { 

SingleR(adproc,eq, send__RS) ; 

} 

Defn__NPre (sendrs) { 

SingleR(adproc,ne, send__RS) ; 

} 

Defn_Post (sendrs) { 
OUTPUT (RS) ; 

AndR (vr_h, le, op.n__mr) ; 
LastR(vt_sq, eq,op.n__sq) ; 

} 

Defn_Trans (sendrs) { 
OUTPUT (RS) ; 
vr_mr = op.njnr; 
adproc=0;. 

} 



Figur A.26: Beispiel fur den C++-Programmtext einer Transition. 
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Figur A.27: Relation der Modellierungsmachtigkeiten von SDL und dem OTEFSM-Modell. 



Von/zur 
Anwendung 



Von/zur 
Adaptionsschicht 



Co-ord-U 



Q.2931-U 
(0.-N) 



Reset-Start-U 



Reset- 
Response-U 



Figur A.28: SDL-ProzeBstruktur aus der Q.2931-Spezifikation [IT94b]. Grau: Prozesse, die 
OTEFSM-Module des abgeleiteten Analysators ergeben. 







A,B / 







Rl 











-> 




■ < 









Figur A.29: Transformation von SDL-Transitionen mit mehxeren Stimuli {A, B). 
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CD 



B 



_> 



R2 
I > 



Zl ^ ^ Zneu ^ 



^ Zneu ^ 



t> s 



Figur A.30: Transformation von SDL-Transitionen mit mehreren Ausgaben (X, Y). 




A'(x) 

R3 =A-'(ti)/ 

I ^ - 



A"' (x) 
= A-'(t2)/ 



A 




• / 












B 




C 



Figur A.31 : Transformation von SDL-Transitionen mit Verzweigung. 
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y:=y+l 
x:=y 







GD CD 



R3 
I > 



y+1 = 17 



17 



42 



y+l =42 



C 

— r— 



y:=y+I 
x:=y 




y:=y+l 
x:=y 










B 




C 



Figur A.32: Beispiel fur die Anpassung der Vorbedingung 



® 









® 


B 












C 



R4 



c 

— i — 







B . 






C 



Figur A.33: Transformation von SDL-Transitionen rnit Sprungen. 



GD 



® 






A 














B 



^ Zl ^ ^ Zneu ^ ^ Zneu ^ 



R5 



x = vl 



x = v2 




^ Zneu ^ 



Figur A. 34: Transformation von SDL-Transitionen mit Verzweigung nach einer Marke. 
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21 ^ 21 ^ 2neu ^ 2neu ^ 









. x := 42 














x := x-1 



R5,R4 
I > 








x 42 






x x-1 







x = o; 



® 



x>0' 



x := x-1 



^ 2neu^ 



Figur A.35: Beispiel fur die Ubersetzung einer Schleife mittels R4 und R5. 



K1297 
SSCOP ETS 



Splitting Box 



VPCI = 5 



- r - - 

i 

1 9" 



j i_ 



1 2 



X 



VPCI * 5 



Switch 



FORE-Switch 

bzw. 
CELT-Stack 



Port VPCI 


Port VPCI 


1 5 

2 5 


3 6 
3 7 



SUN 
Sparc 10 
FollowSM 



Figur A.36: Versuchsaufbau des „Online" -Tests. 
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b(x,y)c(2): 
x=17,y=42,z=59 



a(w)b(x,y): 
w=x=17,y=42 




c(z)a(w): 
w=l7,z=59 



Figur A.37: Der Automat A min , demur das Lehibeispiel a(17), 6(17, 42), c(59) akzeptiert. 




a(w)b(x,y): T 
c(z)a(w): T 
b(x,y)c(z): T 



Figur A.38: Der Automat A maxy der alle moglichen PDU-Folgen zum Lehrbeispiel 
a(17), 6(17, 42), c(59) akzeptiert 
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n 

3-- 
2- 



Intervall [dl;d2] 
E 3 



1 I 1 1 1 1 1 I I I I I I I 1 1 I M I 1 M f 



q= minpL =2>5 



10 



linke Randlucke=6 



15' 20' 25 



rechte Randlucke=5 



groflte Innenlucke-2 



Figur A.39: Beispiel fur die Berechnung des Haufungsquotienten q. Die dargestellte Wahl von 
[di; d 2 ) raaximiert q, das Interval! [14; 16] wiirde nmq = 2 liefem! 



a) rej = [iO-Z^ij =17 b) *-[lQ..»y'j =13 




02 



1 

o ° 


0 • • 
• 

• 

• 


2 

o 


1 . o : 
o 



['. p. ] v i 

o = NichttrefTer von c 

Figur A.40: Berechnung der Komponente rej der Klausel-QualitatsfunJction. Die Zahlen geben 
die Anzahl der ^ichttreffei" pro Trainingsbeispiel an. 



102 012/181 



ZEICHNUNGEN SEITE 20 



Nummer: 
Int. CI. 7 : 

Offenlegungstag: 



DE199 29J66A1 
G06F 13/42 

22. Marz 2001 



a) E als Ausgangmenge 



b) E' = E \ A als Ausgangsmenge 





Figur A.41: Beispiel fur die Auswirkung der Beispiel- Vorauswahl: B laBt sich erst nach Aus- 
blenden von A diskriminieren. 



ok (vl , v2 , v3 , v4 ) <== 

v4 * v3 - vl = 0 

10 Beispiele Klasse 1 AND v4 - v2 + v3 = 0 

vl = v3 * v4 = 0 . .282 AND -4 <= v3 - v2 <= 0 

v2 = v3 + v4 = 37.. 53 AND 0 <= v4 <= 4 

v3 = 37_47 AND 40 <= v2 <= 48 

v4 = 0..6 = v2 - v3 ='v2 - 37.. 47- [ 10/1/294089] 

20 Beispiele Klasse 2 ok (vl , v2 , v3 , v4 ) <== 

vl = 90.. 110 -3 <= v3 - v2 - vl <= 3 

v2 = -30.. 30 AND -6 <= v4 - v2 <= 5 

v3 = vl + v2 + -3.. 3 = 60.. 140 AND -3 <= v3 - vl - v4 <= 3 

v4 = v3 - vl + -3.. 3 = v2 + -6.. 6 AND 92 <= vl <= 110 

AND -30 < = v2 <= 27 
[ 20/2/198089] 

Figur A.42: LARGE auf Beispieldatensatz 1 . Links die Regeln fur die Datenerzeugung, rechts 
das Lernergebnis. 
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ok (vl, v2, v3,v4) <== 

v4 * v3 - vl = 0 

AND v3 + v4 - v2 = 0 

AND 3 7 <= v3 <= 4 7 

AND -47 <= v4 - v2 <= -37 
[ 100/1/252086] 

ok (vl, v2, v3, v4) <== 

-113 <= v2 - v3 • <= -87 

AND -6 <= v4 - v2 <= G 

AND -113 <= v4 - v3 <= -88 

AND -3 <= v3 - v2 - vl <= 3 

. AND -3 <= v4 .+ vl - v3 <= 3 
( 200/1/174885] 

Figur A.43: Lernresultat von Datensatz 1 mit 300 Beispielen. 
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25 Beispiele Klasse 1 
vl = 0 . .999 
v2 = 0. .999 
v3 = vl - v2 

25 Beispiele Klasse 2 
vl = 0. .999 
v2 = vl + v3 
v3 = 0 . .999 

-- 25 Beispiele Klasse 3 
vl = v2 * v3 
v2 = 0 . .999 
v3 = 0 . .999 

25 Beispiele Klasse 4 
vl = 42 
v2 = 0 . .999 
v3 = - v2 



ok (vl,v2,v3) <== 
vl = 42 
AND . v3 + v2 = 0 
AND v3 - vl + v2 
AND -35448 <= v3 

[ 25/1/296489) 



= -42 
* vl <= 



-84 



ok (vl,v2,v3) <== 

v2 * v3 - vl = 0 
AND 6528 <= vl <= 729708 
AND -728832 <= v3 - vl <= -6504 
AND -728875 <= v2 - vl <= -6256 

[ 25/1/128089] 

ok (vl,v2,v3) <== 

v2 - v3 - vl = 0 
AND 434 <= v3 + vl <= 1900 



Vl 


V2 


^3 


AND 65 <= vl <= 982 


840 


1193 


. 353 


AND 2840 <= vl + 6 * v2 <= 12365 


318 


1204 


886 


[ 25/1/108886] 


584 


159 


425 




691 


749 


58 


ok (vl,v2,v3) <== . 


42 


163 


-163 


v3 + v2 - vl .= 0 


533 


604 


-71 


AND 44 <= v3 + v2 <= 947 


104910 


269 


390 


AND 44 <= vl <= 947 


742 . 


1040 


298 


AND -393 <= v3 + vl <= 1702 


404 


857 


-453 


[ 25/1/ 90089] 


42 


662 


-662 


42 


2 


-2 




532 


1319 


787 













Figur A.44: LARGE auf Beispieldatensatz 2. Links die Regeln fur die Datenerzeuguiig, rechts 
das Lernergebnis. 
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ok (vl, v2,v3, v4) <== 

v3 . * v4 - vl = 0 
AND v3 + v4 - v2 = 0 
AND 0 <= v4 <= 6 • 
AND -6 <= v3 - v2 <= 0 
37.. 47 AND 38 <= v2 <= 53 

[ 100/0/203089] 

Figur A.45: LARGE auf Beispieldatensatz 3. Regeln fur die Datenerzeugung und Lemergeb- 
nis. 



♦ - 100 Beispiele Klasse 1 
vl = v3 * v4 = 0 . .282 
v2 = v3 + v4 = 37. .53 
v3 = 37. .47 

v4 = 0, . 6 = v2 - v3 = v2 < 



100 Beispiele Klasse 1 
vl = 100. .200 
v2 = 100. .200 

100 Beispiele Klasse 2 
vl = 300. .4 00 
v2 = 100. .200 



ok (vl,v2) <== 

300 <= v2 <= 400 
AND 101 <= vl <= 200 
AND 115 <= v2 - vl <= 

t 100/2/101295] 



286 



100 Beispiele Klasse 3 
vl = 100. .200 
v2 =' 300. .400 

1.00 Beispiele Klasse 4 
vl = 300. .400 
v2 = 300. .400 



v2 
400- 

300 - 

200 - 

100- 



-T-% 

• • 




• ■ 


* 




? 



© 



100 200 300 400 



- vl 



Ok (vl,v2) <== 

300 <= vl <- 399 
AND 3 00 <= v2 <= 39 9 
AND -92 v2 - vl <= 82 

[ 100/2/ 80095] 

ok (vl,v2) <== 

100 <= v2 <== 199 
AND 100 <= vl <= 199 
AND -94 <= v2 - vl <= 77 

[ 100/2/ 72095] 

ok (vl,v2) <== 

. 301 <= vl <= 399 
AND 101 <= v2 <= 199 
AND. -283 <= v2 > vl <= -109 

[ 100/2/ 41495] 



Figur A.46: LARGE auf Beispieldatensatz 4. Regeln fur die Datenerzeugung, Attributraum 
und Lemergebnis. 
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..,a c e h...b d g k...a c g k...a c f L.b d f i... 



2 6 10 14 18 
2-10, 10-6, 6-18, 18-14,14-2 R={2;6;10;14;18} 

Figur A.47: Beispiel fur die Erzeugung der zustandsbildenden Aquivalenzklassen von Se- 
quenzpositionen in InfSM. 




Figur A.48: Beispiel fur den Einfiufi der Ahnlichkeitsschwelle auf den von InfSM gebildeten 
Automaten. 
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d=8 - 

aegkkmi fhegkkfmld 

llllllilililililll 

0 3 6 9 12 1.5 17 



pp-(4,12) = 3 



d=8 



pp(5,13) = 4 



aegkkmi fhegkkfmld 
kkkkkkkkkkkkkkkkkk 

0 3 6 9 12 IS 17 



d=8 



pp(6,14) = 0 



aegkkmi fhegkkfmld 
k k k k k k k k k k k k k k k k k k 

0 3 6 9 12 15 17 

Figur A.49: Berechnung der gemeinsamen Prafixlangen in InfSM mit quadratischen Aufwand. 
1 2 34 5678 9 

Auseangszustand M fiir N-3 
• •©•©•©•• Kiassen: (1,2,4,6,8,9} 



©•©•©•• KantenfiirN=2 



©. m,® • © 



© © © © © © ® 



Kanten gemaB M auf 
Reprasentanten umgehangt 

Aquivalenzklassen der 
(N=2)-Relation (M 2 ) 



- ^n^^\/tn/tn^/^a Resultat der Komposition 
• © ©©©©©©• m 2 oM, Kiassen {1,9} 

Figur A.50: Berechnung der nachstgroberen Zerlegung in InfSM mit alien Teilschritten. Ftir 
schwarze Knoten gilt M.{i) = i (Reprasentantenknoten einer Klasse), sonst ist M(i) im Kno- 
tenvermerkt. 
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Algorithmic Lerne(p J w) 

P = PlP2-.-Pn 




w 



lnfSM(a x a2 . . - a„) -» 5a, <5a, M 
Fiir 5 6 5 

Fur 0 € E w mit /? = a^+i . . . a* in p A M(t) ~ s 
E «— {(xj, . . . , *\ . . . , x^, . . . , Xw 

I 0,-^+1 (*}, . • • ,*i (ai) ), • • . ,a,(*i,, . • • ,x^ (aw) ) in p A M(t) ~ s} 
LARGE (E) -+ ok(wi,....,t; t ) 
wa(s) <- wa(s) v ok(v Xl ... 

Ausgabe: A mit 5a,5a,^a 

Ende von Lerne 

Figur A. 5 1 : Skizze des aus InfSM und LARGE kombinierten Protokoll-Leraalgorithmus. 
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Algorithmus InfSM* (a, N) 

a = ai...a n : £*. 
/V : N 



G 



: 0 . : .n 0 . . .n 



— Eingabesequenz 

— Fenstergrofie 

— globale Zuordnungsfunktion 



G <- id 0 ...„ 
P<— .1 

Wiederhole 



— Fenster in der PDU-Sequehz 



M Zuordnungsfunktion p...p + 7V-l->p...p + 7V-l gemaB lnfSM(a') 
Fur i e p . . .p + N - I 



fci <- M(i) 

Solange G(A: 1 ) # fc a : fcj *- G(jfcO 

Solange G(Ar 2 ) ^ k 2 : k 2 <- G(k 2 ) 
G(max{k x ; k 2 }) «- min{fci; k 2 } 
p*-p+ N/2 
Bis a verarbeitet 
Fur i e 0 . . . n 
G(i)<-G(G(i)) 



Zustand fur M(z) suchen 

— Zustand fur i suchen 

— zusammenfassen 

— Fenster verschieben 



alle Verweise auf Reprasentanten 



Ausgabe: Globale Zustands-Zuordnungsfunktion G 
Ende von InfSM* 

Figur A.52: Algorithmus InfSM* zur inkrementellen Anwendung von InfSM auf lange PDU- 
Sequenzen. 
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a) 



M 



i 



b) 

M 



i 

4 



t 



t t 



c) 

"M 
G 



k, 



i 

4- 



t 

k 2 



d) 

M 
G 



k 2 



t 



i 



Figur A.53: Falle, die bei der Zusammenfassung der Teilintervalle in InfSM* auftreten. Graue 
Pfeile stehen fur die jeweiligen Neueintrage. 
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Figur A;54: Beispiel fflr die Bildschirmanzeige des Prototyps des Protokoll-Lemprogramms! 
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LEDA. GRAPH 
unknown 
unknown 
11 

| {BGAK_i > 

{ vl 22 = v2 0 = } 

{ vl 11 = v2 0 = } 
BGN_i > 

{ v3 0 = vl 7 17 i v3 vl + 7 17 i v2 1 78 i } 

SD_i > 

{ v2 1 = vl 0 24 i } 
BGAK_i SD_i > 

{ vl 22 ■= v4 vl + 23 = v3 vl + 22 = v2 vl + 22 = v4 v3 + vl + 23 = } 
{ vl 11 = v4 vl + 12 = v3 vl + 11 = v2 vl + 11 = v4 v3 + vl + 12 = } 



18 0| {RS_p} | 
1 9 0 | {END__o} | 

1 10 0 | { ER_i } | 
1110| { END AK_o } | 

2 10| { STAT i } | 

3 1 0 | {STAT_o} | 

4 10| {RSAK_o} | 

5 10| {ENDAK_o} | 

6 7 0| {BGN_o} | 

7 10| {BGAK_i} | 

7 7 0| { ERAK__i } | 

8 10 | {RSAK_i} | 

9 10| {BGREJ__i } | 

10 1 0 | {ERAK_o} | 

Figur A.55: Auszug aus der Representation eines gelemten Protokollautomaten als LEDA- 
Graph. 




Beobachtung: 
abababababab... 



Figur A.56: Beispielsituation dafiir, daB die Zustandsidentifikation selbst bei einem determi- 
nistischen endlichen Automaten unbeschrankt lange dauern kann. 
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Figur A.57: Von InJSM abgeleiteter endlicher Automat der PDU-Typen mit 27 Zustanden 
fiir die Schwelle TV = 5. Erzeugt aus einer Trainingsmenge von 1953 PDUs des SSCOP 
Protokolls. Die Suffixe J kennzeichnen Eingabe-, die \o Ausgabe-PDUs. 
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Figur A.58: Endlicher Automat aus derselben Trainingsmenge mit 21 Zustanden fur die 
Schwelle N = 4. 



102 012/181 



Int. CI. 7 : 

Offeniegungstag: 



G06F 13/42 

22. Marz 2001 




102 012/181 



ZblUHNUNtitN Sbllfc 34 



iMunimer . 
Int. CI. 7 : 



Offenlegungstag: 



G06F 13/42 

22. Marz 2001 



100 



AutomatengroBe — • — 












\ ~w 












\ \ 




\ 

I 


i 

: 


i - \ 




: 





25 20 15 10 5 0 
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Figur A.60: Abnahme der AutomatengroBe \S\ = | range(M^) | in Abhangigkeit vom Schwel- 
lenwert TV. 



SD_i SD_i USTAT_o [0] : 8 attributes, 89 examples 

ok (vl, v2,v3,v4, v5,v6,v7,v8) <== [ 63/1/666064] 
v8 - v4 - v6 = 0 
AND vS + v4 -. v6 = 9 
AND v5 + v6 - v8 - v3 = 6 
AND v5 + v4 + v6. - v8 - v3 .= 7 
AND v8 - v4 - v6 - vl + v5 . = 9 
AND v8 - v4 - v6 - vl - v2 + v5 = 8 . 
AND. -16 <= v8 - v4 - v6 - vl <- -1 
AND -33 <= v8 - v4 - v6 - vl - v7 <= -3 
AND -17 <= v.8 - v4 - v6 - vl - v2 <= -2 

ok (Vl,v2,v3,v4,v5.,v6,v7,v8) <== [ 26/1/576075] 
v8 - v4 - v6 = 1 
AND v5 + v4 - v6 = 10 
AND v5 + v6 - v8 - v3 = 5 
AND v5 + v4 + v6 - v8 •- v3 = 6 
AND v8 - v4 - v6 - vl + v5 *= 11 
AND v8 - v4 - v6 - vl - v2 +■ v5 = 10 
AND v2 = 1 . 
AND v4 = 1 
AND v8 - v5 = -7 

Figur A.61: Beispiel einer gelernten Attributregel fur SSCOR 
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Figur A.62: Vorverarbeitung eines TCP-Mitschnitts mit mehreren gleichzeitigen Verbindun- 
gen zu emem geeigneten Lehrbeispiel mittels tcp split. Die Ziffern kennzeichnen unterschied- 
liche Verbindungen. 




RNA i 



Figur A.63: EndJicher Automat fur TCP nach Beispiel B mit 8 Zustanden. 
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Figur A.64: Endlicher Automat fur TCP nach Beispiel B mit 17 Zustanden. 




Figur A.65: Endlicher Automat fur TCP nach Beispiel A mit 12 Zustanden. 
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Figur A.66: Abnahme der AutomatengroGe \S\ in Abhangigkeit vom Schwellenwert N fiir 
die TCP-Beispiele A und B. Jeder Graph entspricht einem InfSM-Lmf. 
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ACK_i FINA_i ACK__o [2] : 15 attributes, 40 examples 
ok (vl,v2,v3 v!3,vl4,vl5) <== [ 40/0/831694] 
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Figur A.67: Beispiel einer gelernten Attributregel fur TCP. 
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